El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña de phishing en la que se hizo pasar por la propia agencia de ciberseguridad para distribuir una herramienta de administración remota conocida como AGEWHEEZE.
Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envió correos electrónicos el 26 y 27 de marzo de 2026, haciéndose pasar por CERT-UA para distribuir un archivo ZIP protegido con contraseña alojado en Files.fm e instó a los destinatarios a instalar el “software especializado”.
Los objetivos de la campaña incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos de los correos electrónicos se enviaron desde la dirección de correo electrónico “incidents@cert-ua(.)tech”.
El archivo ZIP (“CERT_UA_protection_tool.zip”) está diseñado para descargar malware empaquetado como software de seguridad de la agencia. El malware, según CERT-UA, es un troyano de acceso remoto con nombre en código AGEWHEEZE.
AGEWHEEZE, un malware basado en Go, se comunica con un servidor externo (“54.36.237(.)92”) a través de WebSockets y admite una amplia gama de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el mouse y el teclado, tomar capturas de pantalla y administrar procesos y servicios. También crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agregándose al directorio de Inicio.
Se considera que el ataque no tuvo éxito en gran medida. “No se identificaron más que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad”, dijo la agencia. “Los especialistas del equipo brindaron la asistencia metodológica y práctica necesaria”.
Un análisis del sitio web falso “cert-ua(.)tech” ha revelado que probablemente se generó con la ayuda de herramientas de inteligencia artificial (IA), y el código fuente HTML también incluye un comentario: “С Любовью, КИБЕР СЕРП”, que significa “Con amor, CYBER SERP”.
En publicaciones en Telegram, Cyber Serp afirma que son “operadores cibernéticos de Ucrania”. El canal Telegram fue creado en noviembre de 2025 y cuenta con más de 700 suscriptores.
El actor de amenazas también dijo que los correos electrónicos de phishing se enviaron a 1 millón de buzones de correo netos como parte de la campaña, y que más de 200.000 dispositivos se han visto comprometidos. “No somos bandidos: el ciudadano ucraniano medio nunca sufrirá como resultado de nuestras acciones”, decía en una publicación.
El mes pasado, Cyber Serp asumió la responsabilidad de una supuesta violación de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una base de datos de clientes y el código fuente de su línea de productos CIPS, entre otros.
En un comunicado en su sitio web, Cipher reconoció que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnología, pero dijo que su infraestructura estaba funcionando con normalidad. El usuario infectado tuvo acceso a un único proyecto, que no contenía datos confidenciales, añadió.
