Η Ομάδα Αντιμετώπισης Έκτακτων Αναγκών Πληροφορικής της Ουκρανίας (CERT-UA) αποκάλυψε μια νέα επιχείρηση ηλεκτρονικού ψαρέματος (phishing), όπου οι επιτιθέμενοι υποδύθηκαν την ίδια την υπηρεσία για να διαδώσουν ένα εργαλείο απομακρυσμένης διαχείρισης με την ονομασία AGEWHEEZE.
Οι δράστες, που παρακολουθούνται με την κωδική ονομασία UAC-0255, απέστειλαν μαζικά μηνύματα στις 26 και 27 Μαρτίου 2026, προτρέποντας τους παραλήπτες να εγκαταστήσουν ένα δήθεν «εξειδικευμένο λογισμικό προστασίας».
CERT-UA: Η μέθοδος επίθεσης και το κακόβουλο φορτίο
Τα παραπλανητικά μηνύματα περιείχαν έναν σύνδεσμο για ένα προστατευμένο με κωδικό αρχείο ZIP, το οποίο φιλοξενούνταν στην πλατφόρμα Files.fm.
Το αρχείο, με το όνομα «CERT_UA_protection_tool.zip», περιλάμβανε το AGEWHEEZE, ένα Trojan απομακρυσμένης πρόσβασης (RAT) γραμμένο σε γλώσσα Go.
Το λογισμικό αυτό επιτρέπει στους επιτιθέμενους να εκτελούν εντολές, να διαχειρίζονται αρχεία, να τροποποιούν το πρόχειρο (clipboard), να λαμβάνουν στιγμιότυπα οθόνης και να ελέγχουν το πληκτρολόγιο και το ποντίκι του θύματος, εξασφαλίζοντας μόνιμη παρουσία στο σύστημα μέσω προγραμματισμένων εργασιών ή του Μητρώου των Windows.
Ο ρόλος της Τεχνητής Νοημοσύνης και η ομάδα Cyber Serp
Η ανάλυση της ψεύτικης ιστοσελίδας που χρησιμοποιήθηκε στην εκστρατεία έδειξε ότι ο κώδικας HTML πιθανότατα δημιουργήθηκε με τη βοήθεια εργαλείων Τεχνητής Νοημοσύνης (AI).
Στον κώδικα εντοπίστηκε το μήνυμα «Με αγάπη, CYBER SERP», αναφερόμενο σε μια ομάδα που αυτοαποκαλείται «operatives του κυβερνο-υποκόσμου από την Ουκρανία».
Η ομάδα ισχυρίστηκε μέσω Telegram ότι απέστειλε μηνύματα σε 1 εκατομμύριο λογαριασμούς και ότι έχει μολύνει πάνω από 200.000 συσκευές, αν και η CERT-UA αξιολογεί την επίθεση ως σε μεγάλο βαθμό αποτυχημένη, εντοπίζοντας μόνο λίγες μολυσμένες συσκευές σε εκπαιδευτικά ιδρύματα.
Στοχευμένοι οργανισμοί και προηγούμενες ενέργειες
Στο στόχαστρο της καμπάνιας βρέθηκαν κρατικοί οργανισμοί, ιατρικά κέντρα, εταιρείες ασφαλείας και χρηματοπιστωτικά ιδρύματα. Η ομάδα Cyber Serp είχε απασχολήσει ξανά τις αρχές τον προηγούμενο μήνα, όταν ανέλαβε την ευθύνη για μια υποτιθέμενη παραβίαση της ουκρανικής εταιρείας κυβερνοασφάλειας Cipher.
Αν και η Cipher επιβεβαίωσε την παραβίαση διαπιστευτηρίων ενός υπαλλήλου, διευκρίνισε ότι η υποδομή της παρέμεινε ασφαλής και ότι δεν εκτέθηκαν ευαίσθητα δεδομένα πελατών, περιορίζοντας τη σημασία της επίθεσης.