New AgingFly malware used in attacks on Ukraine govt, hospitals

1 minute de lecture

Mis à jour : April 16, 2026

Analyse de la menace AgingFly contre les institutions ukrainiennes

Le groupe cybercriminel UAC-0247 cible actuellement des entités gouvernementales, hospitalières et militaires en Ukraine via une nouvelle famille de logiciels malveillants baptisée AgingFly.

Points clés :

Vecteur d’attaque : Campagne de phishing par e-mail simulant des offres d’aide humanitaire, utilisant des liens vers des sites compromis (XSS) ou générés par IA.
Mécanisme d’exécution : Utilisation de fichiers LNK et HTA pour télécharger des charges utiles. Le malware se distingue par sa capacité à compiler dynamiquement des modules de commande directement sur la machine cible à partir de code source reçu du serveur C2, évitant ainsi les signatures statiques.
Objectifs : Exfiltration de données (mots de passe, cookies) via ChromElevator pour les navigateurs Chromium et ZAPiDESK pour WhatsApp. Le groupe effectue également de la reconnaissance réseau et des mouvements latéraux à l’aide d’outils légitimes (RustScan, Chisel).
Communication : Utilisation de WebSockets chiffrés en AES-CBC et de scripts PowerShell (SILENTLOOP) pour maintenir la persistance et récupérer les adresses C2 via Telegram.

Vulnérabilités exploitées :

Exploitation de vulnérabilités XSS sur des sites légitimes pour la redirection initiale.
Note : Aucune CVE spécifique n’est mentionnée pour le malware lui-même, celui-ci reposant sur l’exécution de scripts légitimes (LNK, HTA, PowerShell) et d’outils d’administration détournés.

Recommandations :

Durcissement système : Bloquer strictement l’exécution des fichiers de raccourcis (.LNK), des fichiers d’application HTML (.HTA) et des fichiers JavaScript (.JS) pour rompre la chaîne d’infection.
Surveillance : Surveiller les exécutions inhabituelles de processus compilateurs ou de PowerShell sur les postes de travail.
Hygiène numérique : Sensibiliser le personnel aux e-mails frauduleux prétendant offrir une aide humanitaire, souvent utilisés pour distribuer ces charges initiales.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New AgingFly malware used in attacks on Ukraine govt, hospitals

Analyse de la menace AgingFly contre les institutions ukrainiennes

Partager sur

Vous pourriez aimer

[Guest Diary] Compromised DVRs and Finding Them in the Wild, (Thu, Apr 16th)

Vulnérabilité et compromission massive des enregistreurs vidéo (DVR)

WordPress plugin suite hacked to push malware to thousands of sites

Compromission de la chaîne d’approvisionnement : La suite EssentialPlugin infectée

[Webinar] Find and Eliminate Orphaned Non-Human Identities in Your Environment

La menace invisible : sécuriser les identités non humaines

US nationals behind DPRK IT worker laptop farm sent to prison

Infiltration d’entreprises américaines par des travailleurs nord-coréens : démantèlement d’un réseau