El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña de phishing en la que se suplantó la propia agencia de ciberseguridad para distribuir una herramienta de administración remota conocida como AGEWHEEZE.
Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envió correos electrónicos el 26 y 27 de marzo de 2026, haciéndose pasar por CERT-UA para distribuir un archivo ZIP protegido con contraseña alojado en Files.fm e instó a los destinatarios a instalar el «software especializado».
Los objetivos de la campaña incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos de los correos electrónicos fueron enviados desde la dirección de correo electrónico «incidents@cert-ua[.]tecnología.»
El archivo ZIP («CERT_UA_protection_tool.zip») está diseñado para descargar malware empaquetado como software de seguridad de la agencia. El malware, según CERT-UA, es un troyano de acceso remoto con nombre en código AGEWHEEZE.
AGEWHEEZE, un malware basado en Go, se comunica con un servidor externo («54.36.237[.]92») sobre WebSockets y admite una amplia gama de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el mouse y el teclado, tomar capturas de pantalla y administrar procesos y servicios. También crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agregándose al directorio de Inicio.
Se considera que el ataque no tuvo éxito en gran medida. «No se identificaron más que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad», dijo la agencia. «Los especialistas del equipo brindaron la asistencia metodológica y práctica necesaria».
Un análisis del sitio web falso «cert-ua»[.]tech» ha revelado que probablemente se generó con la ayuda de herramientas de inteligencia artificial (IA), y el código fuente HTML también incluye un comentario: «С Любовью, КИБЕР СЕРП», que significa «Con amor, CYBER SERP».
En publicaciones en Telegram, Cyber Serp afirma que son «operadores cibernéticos de Ucrania». El canal Telegram fue creado en noviembre de 2025 y cuenta con más de 700 suscriptores.
El actor de amenazas también dijo que los correos electrónicos de phishing se enviaron a 1 millón de ucras.[.]buzones de correo netos como parte de la campaña, y que más de 200.000 dispositivos han sido comprometidos. «No somos bandidos: el ciudadano ucraniano medio nunca sufrirá como resultado de nuestras acciones», afirmó. dicho en una publicación.
El mes pasado, Cyber Serp asumió la responsabilidad por una presunta violación de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una base de datos de clientes y el código fuente de su línea de productos CIPS, entre otros.
En un comunicado en su sitio web, Cipher admitido que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnología pero dijeron que su infraestructura estaba funcionando normalmente. El usuario infectado tuvo acceso a un único proyecto, que no contenía datos confidenciales, añadió.
