Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Eines d'administració remota RAT DE AGEWHEEZE

RAT DE AGEWHEEZE

El Mezo el Eines d'administració remota, Amenaça persistent avançada (APT)
Traduir a:

Analistes de ciberseguretat han descobert una operació de phishing dirigida en què els actors d'amenaces es van fer passar per l'Equip de Resposta a Emergències Informàtiques d'Ucraïna per distribuir una eina d'administració remota coneguda com a AGEWHEEZE. La campanya, atribuïda al grup UAC-0255, es basava en correus electrònics enganyosos enviats el 26 i 27 de març de 2026, instant els destinataris a instal·lar el que es va descriure com a "programari especialitzat".

Aquests correus electrònics contenien enllaços a un arxiu ZIP protegit amb contrasenya allotjat a Files.fm. L'arxiu, anomenat CERT_UA_protection_tool.zip, es presentava com una utilitat de seguretat legítima, però en comptes d'això lliurava càrregues útils malicioses. Alguns missatges provenien de l'adreça falsa "incidents@cert-ua.tech", cosa que reforçava encara més la il·lusió d'autenticitat.

Perfil de l’objectiu i abast de l’atac

L'operació va abastar una àmplia gamma d'organitzacions crítiques per a la infraestructura nacional i els serveis públics. Aquestes incloïen:

  • Institucions governamentals i estatals
  • Instal·lacions mèdiques i sanitàries
  • Empreses relacionades amb la seguretat i la defensa
  • Organitzacions educatives
  • Institucions financeres
  • Empreses de desenvolupament de programari

Malgrat l'estratègia general de segmentació, l'eficàcia general de la campanya sembla limitada. Només es va confirmar un petit nombre d'infeccions, que van afectar principalment els dispositius personals dels empleats dins de les institucions educatives.

Dins d’AGEWHEEZE: Capacitats i mecanismes de persistència

AGEWHEEZE és un troià d'accés remot basat en Go dissenyat per a un control i vigilància extensius del sistema. Un cop desplegat, estableix comunicació amb un servidor de comandament i control a 54.36.237.92 mitjançant protocols WebSocket.

El programari maliciós permet als atacants dur a terme una àmplia gamma d'activitats malicioses, com ara:

  • Executar ordres arbitràries i gestionar processos del sistema
  • Realització d'operacions amb fitxers i manipulació de dades emmagatzemades
  • Captura de captures de pantalla i seguiment de l'activitat dels usuaris
  • Emulació d'entrades de ratolí i teclat
  • Modificació del contingut del porta-retalls
  • Mantenir la persistència mitjançant tasques programades, modificacions del registre de Windows o la col·locació del directori d'inici

Aquesta combinació de característiques fa d'AGEWHEEZE una eina versàtil per a l'espionatge, el moviment lateral i la comprometre el sistema a llarg termini.

Infraestructura enganyosa i fabricació assistida per IA

La investigació sobre el domini fraudulent "cert-ua.tech" va revelar indicadors de desenvolupament automatitzat o assistit per IA. El codi font HTML del lloc web contenia un comentari destacable en rus: "С Любовью, КИБЕР СЕРП" ("Amb amor, CYBER SERP"), cosa que suggereix una atribució a un grup que s'anomena Cyber Serp.

Cyber Serp ha afirmat estar afiliat a cercles ciberclandestins ucraïnesos a través del seu canal de Telegram, que es va establir el novembre de 2025 i ha acumulat més de 700 subscriptors. El grup va afirmar públicament que la campanya de phishing tenia com a objectiu fins a un milió de comptes de correu electrònic i va provocar més de 200.000 dispositius compromesos, xifres que superen significativament les avaluacions independents.

Afirmacions contradictòries i activitat d’amenaces més àmplia

Cyber Serp ha intentat posicionar-se com un actor selectiu, afirmant que els ciutadans comuns no es veurien afectats per les seves operacions. Tanmateix, aquestes afirmacions són inconsistents amb la naturalesa indiscriminada de les campanyes de phishing a gran escala.

En un incident separat, el grup es va atribuir la responsabilitat de la violació de Cipher, al·legant accés a dades del servidor, bases de dades de clients i codi font propietari. Cipher va confirmar més tard un compromís limitat que implicava les credencials d'un empleat, però va emfatitzar que:

  • La infraestructura bàsica es va mantenir segura i operativa
  • El compte afectat només tenia accés a un únic projecte no sensible.

Aquesta discrepància posa de manifest una tàctica comuna entre els actors d'amenaces, que consisteix a exagerar l'impacte per amplificar la influència i la credibilitat percebudes.

Avaluació i implicacions de seguretat

La campanya demostra l'eficàcia contínua de les tàctiques d'impersonació, especialment quan s'aprofiten entitats nacionals de ciberseguretat de confiança. Tot i que l'impacte immediat va ser contingut, la sofisticació tècnica d'AGEWHEEZE i l'escala dels intents de distribució indiquen un panorama d'amenaces persistent i en evolució.

Es recomana a les organitzacions que reforcin els processos de verificació del correu electrònic, examinin els fitxers adjunts no sol·licitats i formin el personal sobre com reconèixer els intents de suplantació d'identitat que impliquin institucions autoritàries.

Tendència

Més vist

Carregant...