AGEWHEEZE RAT

تحلیلگران امنیت سایبری یک عملیات فیشینگ هدفمند را کشف کرده‌اند که در آن عوامل تهدید، خود را به عنوان تیم واکنش اضطراری رایانه‌ای اوکراین جعل کرده تا یک ابزار مدیریت از راه دور به نام AGEWHEEZE را توزیع کنند. این کمپین که به گروه UAC-0255 نسبت داده می‌شود، بر ایمیل‌های فریبنده‌ای که در تاریخ ۲۶ و ۲۷ مارس ۲۰۲۶ ارسال شده بودند، متکی بود و گیرندگان را به نصب چیزی که به عنوان «نرم‌افزار تخصصی» توصیف شده بود، ترغیب می‌کرد.

این ایمیل‌ها حاوی لینک‌هایی به یک فایل فشرده‌ی محافظت‌شده با رمز عبور بودند که در Files.fm میزبانی می‌شد. این فایل فشرده با نام CERT_UA_protection_tool.zip، به عنوان یک ابزار امنیتی قانونی ارائه شده بود، اما در عوض، بدافزارهایی را ارسال می‌کرد. برخی از پیام‌ها از آدرس جعلی 'incidents@cert-ua.tech' ارسال می‌شدند که توهم اصالت را بیشتر تقویت می‌کرد.

مشخصات هدف و دامنه حمله

این عملیات دامنه‌ی وسیعی را در بر گرفت و طیف متنوعی از سازمان‌های حیاتی برای زیرساخت‌های ملی و خدمات عمومی را هدف قرار داد. این سازمان‌ها شامل موارد زیر بودند:

• نهادهای دولتی و حکومتی
• مراکز درمانی و بهداشتی
• شرکت‌های مرتبط با امنیت و دفاع
• سازمان‌های آموزشی
• موسسات مالی
• شرکت‌های توسعه نرم‌افزار

با وجود استراتژی هدف‌گیری گسترده، اثربخشی کلی این کمپین محدود به نظر می‌رسد. تنها تعداد کمی از آلودگی‌ها تأیید شده است که عمدتاً دستگاه‌های شخصی کارمندان در مؤسسات آموزشی را تحت تأثیر قرار داده است.

درون AGEWHEEZE: قابلیت‌ها و مکانیسم‌های پایداری

AGEWHEEZE یک تروجان دسترسی از راه دور مبتنی بر Go است که برای کنترل و نظارت گسترده بر سیستم طراحی شده است. پس از استقرار، با استفاده از پروتکل‌های WebSocket با یک سرور فرمان و کنترل در آدرس 54.36.237.92 ارتباط برقرار می‌کند.

این بدافزار مهاجمان را قادر می‌سازد طیف گسترده‌ای از فعالیت‌های مخرب را انجام دهند، از جمله:

• اجرای دستورات دلخواه و مدیریت فرآیندهای سیستم
• انجام عملیات فایل و دستکاری داده‌های ذخیره شده
• گرفتن اسکرین‌شات و نظارت بر فعالیت کاربران
• شبیه‌سازی ورودی‌های ماوس و صفحه‌کلید
• تغییر محتویات کلیپ‌بورد
• حفظ پایداری از طریق وظایف زمان‌بندی‌شده، تغییرات رجیستری ویندوز یا قرار دادن پوشه‌ی Startup

این ترکیب از ویژگی‌ها، AGEWHEEZE را به ابزاری همه‌کاره برای جاسوسی، حرکات جانبی و نفوذ بلندمدت به سیستم تبدیل می‌کند.

زیرساخت فریبنده و ساخت با کمک هوش مصنوعی

تحقیقات در مورد دامنه جعلی cert-ua.tech نشانه‌هایی از توسعه خودکار یا با کمک هوش مصنوعی را آشکار کرد. کد منبع HTML این وب‌سایت حاوی یک نظر قابل توجه به زبان روسی بود: 'С Любовью, КИБЕР СЕРП' (با عشق، CYBER SERP) که نشان می‌دهد این وب‌سایت به گروهی به نام Cyber Serp منتسب است.

سایبر سرپ از طریق کانال تلگرام خود که در نوامبر ۲۰۲۵ تأسیس شد و بیش از ۷۰۰ مشترک دارد، ادعای وابستگی به محافل سایبری زیرزمینی اوکراین را مطرح کرده است. این گروه علناً ادعا کرد که این کمپین فیشینگ تا یک میلیون حساب ایمیل را هدف قرار داده و منجر به آلوده شدن بیش از ۲۰۰۰۰۰ دستگاه شده است، ارقامی که به طور قابل توجهی از ارزیابی‌های مستقل فراتر می‌رود.

ادعاهای متناقض و فعالیت‌های تهدیدآمیز گسترده‌تر

سایبر سرپ تلاش کرده است خود را به عنوان یک بازیگر گزینشی معرفی کند و ادعا می‌کند که شهروندان عادی تحت تأثیر عملیات آن قرار نمی‌گیرند. با این حال، چنین اظهاراتی با ماهیت بی‌قید و شرط کمپین‌های فیشینگ در مقیاس بزرگ مغایرت دارد.

در یک حادثه جداگانه، این گروه مسئولیت نقض امنیت سایفر را بر عهده گرفت و ادعا کرد که به داده‌های سرور، پایگاه‌های داده کلاینت و کد منبع اختصاصی دسترسی پیدا کرده است. سایفر بعداً نفوذ محدودی را که شامل اعتبارنامه‌های یک کارمند می‌شد، تأیید کرد اما تأکید کرد که:

• زیرساخت اصلی امن و عملیاتی باقی ماند
• حساب کاربری آسیب‌دیده فقط به یک پروژه غیرحساس دسترسی داشته است

این اختلاف، یک تاکتیک رایج در میان بازیگران تهدید را برجسته می‌کند: اغراق در تأثیر برای تقویت نفوذ و اعتبار ادراک‌شده.

ارزیابی و پیامدهای امنیتی

این کمپین، اثربخشی مداوم تاکتیک‌های جعل هویت را نشان می‌دهد، به‌ویژه هنگام استفاده از نهادهای امنیت سایبری ملی مورد اعتماد. در حالی که تأثیر فوری مهار شد، پیچیدگی فنی AGEWHEEZE و مقیاس تلاش برای توزیع آن، نشان‌دهنده چشم‌انداز تهدید مداوم و در حال تحول است.

به سازمان‌ها توصیه می‌شود فرآیندهای تأیید ایمیل را تقویت کنند، پیوست‌های ناخواسته را بررسی کنند و به پرسنل خود در مورد تشخیص تلاش‌های جعل هویت از طریق نهادهای معتبر آموزش دهند.