El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña de phishing en la que se hizo producirse por la propia agencia de ciberseguridad para distribuir una utensilio de sucursal remota conocida como AGEWHEEZE.
Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envió correos electrónicos el 26 y 27 de marzo de 2026, haciéndose producirse por CERT-UA para distribuir un archivo ZIP protegido con contraseña alojado en Files.fm e instó a los destinatarios a instalar el “software especializado”.
Los objetivos de la campaña incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de expansión de software. Algunos de los correos electrónicos se enviaron desde la dirección de correo electrónico “incidents@cert-ua(.)tech”.
El archivo ZIP (“CERT_UA_protection_tool.zip”) está diseñado para descargar malware empaquetado como software de seguridad de la agencia. El malware, según CERT-UA, es un troyano de camino remoto con nombre en código AGEWHEEZE.
AGEWHEEZE, un malware basado en Go, se comunica con un servidor extranjero (“54.36.237(.)92”) a través de WebSockets y admite una amplia variedad de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, rivalizar el mouse y el teclado, tomar capturas de pantalla y cuidar procesos y servicios. Además crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agregándose al directorio de Inicio.
Se considera que el ataque no tuvo éxito en gran medida. “No se identificaron más que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad”, dijo la agencia. “Los especialistas del equipo brindaron la concurso metodológica y destreza necesaria”.
Un disección del sitio web ficticio “cert-ua(.)tech” ha revelado que probablemente se generó con la ayuda de herramientas de inteligencia sintético (IA), y el código fuente HTML igualmente incluye un comentario: “С Любовью, КИБЕР СЕРП”, que significa “Con inclinación, CYBER SERP”.
En publicaciones en Telegram, Cyber Serp afirma que son “operadores cibernéticos de Ucrania”. El canal Telegram fue creado en noviembre de 2025 y cuenta con más de 700 suscriptores.
El actor de amenazas igualmente dijo que los correos electrónicos de phishing se enviaron a 1 millón de buzones de correo netos como parte de la campaña, y que más de 200.000 dispositivos se han pasado comprometidos. “No somos bandidos: el ciudadano ucraniano medio nunca sufrirá como resultado de nuestras acciones”, decía en una publicación.
El mes pasado, Cyber Serp asumió la responsabilidad de una supuesta violación de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una cojín de datos de clientes y el código fuente de su semirrecta de productos CIPS, entre otros.
En un comunicado en su sitio web, Cipher reconoció que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnología, pero dijo que su infraestructura estaba funcionando con normalidad. El agraciado infectado tuvo camino a un único tesina, que no contenía datos confidenciales, añadió.
