CERT-UA Impersonation Campaign Spread AGEWHEEZE Malware to 1 Million Emails

1 minute de lecture

Mis à jour : April 01, 2026

Campagne de phishing usurpant le CERT-UA : Propagation du malware AGEWHEEZE

Le groupe cybercriminel UAC-0255 (alias « Cyber Serp ») a orchestré une vaste campagne de phishing en usurpant l’identité du CERT-UA. Les attaquants ont diffusé des courriels frauduleux incitant les destinataires à télécharger un prétendu « outil de protection » hébergé sur Files.fm.

Points clés :

Vecteur d’attaque : Courriels piégés pointant vers une archive ZIP (« CERT_UA_protection_tool.zip »).
Cibles : Institutions gouvernementales, secteur médical, éducation, finance et entreprises technologiques ukrainiennes.
Logiciel malveillant : Déploiement de AGEWHEEZE, un cheval de Troie d’accès à distance (RAT) développé en Go.
Capacités du malware : Contrôle total de la machine (exécution de commandes, gestion des processus, captures d’écran, surveillance du presse-papier, émulation clavier/souris).
Persistance : Utilisation de tâches planifiées, modification de la base de registre et ajout au dossier de démarrage.
Impact : Bien que les attaquants prétendent avoir compromis des centaines de milliers de machines, le CERT-UA a confirmé une réussite limitée, identifiant seulement quelques infections isolées dans des établissements éducatifs.

Vulnérabilités :

Cette attaque exploite principalement le facteur humain (ingénierie sociale) plutôt qu’une faille logicielle spécifique (CVE).
Le recours à des sites web générés par IA et à des domaines frauduleux (ex: cert-ua.tech) vise à contourner la vigilance des utilisateurs.

Recommandations :

Vigilance accrue : Ne jamais télécharger ou exécuter de logiciels provenant d’e-mails non sollicités, même s’ils semblent émaner d’organismes officiels.
Vérification des sources : Toujours valider l’authenticité d’une communication en consultant directement le site web officiel de l’organisme (en vérifiant scrupuleusement l’URL) plutôt que de cliquer sur les liens fournis.
Sécurité des postes : Maintenir les antivirus et EDR à jour pour détecter les comportements suspects tels que les tentatives d’ajout de persistance dans le registre ou les tâches planifiées.
Conscience utilisateur : Former les employés à reconnaître les signes de phishing, notamment les adresses d’expéditeurs suspectes et les incitations à télécharger des fichiers compressés protégés par mot de passe.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CERT-UA Impersonation Campaign Spread AGEWHEEZE Malware to 1 Million Emails

Campagne de phishing usurpant le CERT-UA : Propagation du malware AGEWHEEZE

Partager sur

Vous pourriez aimer

TeamPCP Supply Chain Campaign: Update 005 - First Confirmed Victim Disclosure, Post-Compromise Cloud Enumeration Documented, and Axios Attribution Narrows, (Wed, Apr 1st)

Évolution de la campagne TeamPCP : Victimes confirmées et cyberespionnage d’État

Routine Access Is Powering Modern Intrusions, a New Threat Report Finds

La montée en puissance des intrusions par accès légitimes

Proton launches new “Meet” privacy-focused conferencing platform

Proton Meet : Une alternative sécurisée pour la visioconférence

NoVoice Android malware on Google Play infected 2.3 million devices

Menace NoVoice : un rootkit Android persistant sur le Google Play Store