AGEWHEEZE चूहा

साइबर सुरक्षा विश्लेषकों ने एक लक्षित फ़िशिंग अभियान का पर्दाफाश किया है जिसमें हमलावरों ने यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम का रूप धारण करके AGEWHEEZE नामक एक रिमोट एडमिनिस्ट्रेशन टूल वितरित किया। UAC-0255 समूह द्वारा संचालित इस अभियान में 26 और 27 मार्च, 2026 को भेजे गए भ्रामक ईमेल का इस्तेमाल किया गया, जिसमें प्राप्तकर्ताओं से 'विशेष सॉफ्टवेयर' के रूप में वर्णित सॉफ़्टवेयर को इंस्टॉल करने का आग्रह किया गया था।

इन ईमेल में Files.fm पर होस्ट किए गए पासवर्ड-सुरक्षित ज़िप आर्काइव के लिंक थे। CERT_UA_protection_tool.zip नाम के इस आर्काइव को एक वैध सुरक्षा यूटिलिटी के रूप में प्रस्तुत किया गया था, लेकिन वास्तव में इसमें दुर्भावनापूर्ण पेलोड थे। कुछ संदेश फर्जी पते 'incidents@cert-ua.tech' से भेजे गए थे, जिससे इसकी प्रामाणिकता का भ्रम और भी पुख्ता हो गया।

लक्ष्य प्रोफ़ाइल और हमले की पहुंच

इस अभियान में राष्ट्रीय अवसंरचना और सार्वजनिक सेवाओं के लिए महत्वपूर्ण विभिन्न संगठनों को निशाना बनाया गया। इनमें शामिल थे:

• सरकार और राज्य संस्थाएँ
• चिकित्सा एवं स्वास्थ्य देखभाल सुविधाएं
• सुरक्षा और रक्षा संबंधी कंपनियां
• शैक्षिक संगठनों
• वित्तीय संस्थानों
• सॉफ्टवेयर विकास फर्मों

व्यापक लक्ष्यीकरण रणनीति के बावजूद, अभियान की समग्र प्रभावशीलता सीमित प्रतीत होती है। केवल कुछ ही संक्रमणों की पुष्टि हुई, जो मुख्य रूप से शैक्षणिक संस्थानों में कार्यरत कर्मचारियों के व्यक्तिगत उपकरणों को प्रभावित करते हैं।

AGEWHEEZE के भीतर: क्षमताएं और निरंतरता तंत्र

AGEWHEEZE एक Go-आधारित रिमोट एक्सेस ट्रोजन है जिसे व्यापक सिस्टम नियंत्रण और निगरानी के लिए डिज़ाइन किया गया है। एक बार तैनात होने के बाद, यह WebSocket प्रोटोकॉल का उपयोग करके 54.36.237.92 पर स्थित कमांड-एंड-कंट्रोल सर्वर के साथ संचार स्थापित करता है।

यह मैलवेयर हमलावरों को कई प्रकार की दुर्भावनापूर्ण गतिविधियों को अंजाम देने में सक्षम बनाता है, जिनमें शामिल हैं:

• मनमानी कमांडों को निष्पादित करना और सिस्टम प्रक्रियाओं का प्रबंधन करना
• फ़ाइल संचालन करना और संग्रहीत डेटा में हेरफेर करना
• स्क्रीनशॉट लेना और उपयोगकर्ता गतिविधि की निगरानी करना
• माउस और कीबोर्ड इनपुट का अनुकरण करना
• क्लिपबोर्ड की सामग्री में बदलाव करना
• निर्धारित कार्यों, विंडोज रजिस्ट्री संशोधनों या स्टार्टअप निर्देशिका प्लेसमेंट के माध्यम से निरंतरता बनाए रखना

इन विशेषताओं का संयोजन AGEWHEEZE को जासूसी, पार्श्व विस्तार और दीर्घकालिक सिस्टम में सेंधमारी के लिए एक बहुमुखी उपकरण बनाता है।

भ्रामक अवसंरचना और एआई-सहायता प्राप्त निर्माण

फर्जी डोमेन 'cert-ua.tech' की जांच से स्वचालित या कृत्रिम बुद्धिमत्ता की सहायता से विकास के संकेत मिले। वेबसाइट के HTML स्रोत कोड में रूसी भाषा में एक उल्लेखनीय टिप्पणी थी: 'С Любовью, КИБЕР СЕРП' ('प्यार से, साइबर सर्प'), जो साइबर सर्प नामक एक समूह से संबंधित होने का संकेत देती है।

साइबर सर्प ने अपने टेलीग्राम चैनल के माध्यम से यूक्रेनी साइबर-अंडरग्राउंड समूहों से संबद्धता का दावा किया है, जिसे नवंबर 2025 में स्थापित किया गया था और जिसके 700 से अधिक सदस्य हैं। समूह ने सार्वजनिक रूप से दावा किया कि फ़िशिंग अभियान ने लगभग दस लाख ईमेल खातों को निशाना बनाया और इसके परिणामस्वरूप 200,000 से अधिक डिवाइस प्रभावित हुए, जो स्वतंत्र आकलन से कहीं अधिक हैं।

परस्पर विरोधी दावे और व्यापक खतरे की गतिविधियाँ

साइबर सर्प ने खुद को एक चुनिंदा हमलावर के रूप में स्थापित करने का प्रयास किया है, यह दावा करते हुए कि आम नागरिक उसके अभियानों से प्रभावित नहीं होंगे। हालांकि, ऐसे बयान बड़े पैमाने पर होने वाले फ़िशिंग अभियानों की अंधाधुंध प्रकृति के साथ मेल नहीं खाते।

एक अलग घटना में, समूह ने सिफर में सेंध लगाने की जिम्मेदारी ली, और सर्वर डेटा, क्लाइंट डेटाबेस और मालिकाना स्रोत कोड तक पहुंच का दावा किया। सिफर ने बाद में एक कर्मचारी के क्रेडेंशियल्स से जुड़े सीमित उल्लंघन की पुष्टि की, लेकिन इस बात पर जोर दिया कि:

• मुख्य बुनियादी ढांचा सुरक्षित और चालू रहा।
• प्रभावित खाते की पहुंच केवल एक गैर-संवेदनशील परियोजना तक ही थी।

यह विसंगति खतरे पैदा करने वाले तत्वों के बीच एक आम रणनीति को उजागर करती है, जिसमें प्रभाव को बढ़ा-चढ़ाकर पेश किया जाता है ताकि कथित प्रभाव और विश्वसनीयता को बढ़ाया जा सके।

मूल्यांकन और सुरक्षा निहितार्थ

यह अभियान प्रतिरूपण युक्तियों की निरंतर प्रभावशीलता को दर्शाता है, विशेष रूप से विश्वसनीय राष्ट्रीय साइबर सुरक्षा संस्थाओं का लाभ उठाने के मामले में। यद्यपि तात्कालिक प्रभाव सीमित रहा, AGEWHEEZE की तकनीकी दक्षता और वितरण के प्रयासों का पैमाना एक निरंतर और विकसित होते खतरे के परिदृश्य का संकेत देता है।

संगठनों को सलाह दी जाती है कि वे ईमेल सत्यापन प्रक्रियाओं को मजबूत करें, अवांछित संलग्नकों की सावधानीपूर्वक जांच करें और कर्मचारियों को आधिकारिक संस्थानों से जुड़े प्रतिरूपण प्रयासों को पहचानने के बारे में शिक्षित करें।