Preventivo sconto multi-licenza
Database delle minacce Strumenti di amministrazione remota RATTO AGEWHEEZE

RATTO AGEWHEEZE

Entro Mezo nel Strumenti di amministrazione remota, Minaccia persistente avanzata (APT)
Traduci in:

Gli analisti di sicurezza informatica hanno scoperto un'operazione di phishing mirata in cui i malintenzionati si sono spacciati per il Computer Emergency Response Team dell'Ucraina per distribuire uno strumento di amministrazione remota noto come AGEWHEEZE. La campagna, attribuita al gruppo UAC-0255, si è basata su e-mail ingannevoli inviate il 26 e 27 marzo 2026, che invitavano i destinatari a installare quello che veniva descritto come un "software specializzato".

Queste email contenevano link a un archivio ZIP protetto da password e ospitato su Files.fm. L'archivio, denominato CERT_UA_protection_tool.zip, veniva presentato come un'utility di sicurezza legittima, ma in realtà conteneva codice dannoso. Alcuni messaggi provenivano dall'indirizzo falsificato "incidents@cert-ua.tech", rafforzando ulteriormente l'illusione di autenticità.

Profilo del bersaglio e portata dell’attacco

L'operazione ha avuto un ampio raggio d'azione, prendendo di mira una vasta gamma di organizzazioni cruciali per le infrastrutture nazionali e i servizi pubblici. Tra queste figurano:

  • Istituzioni governative e statali
  • Strutture mediche e sanitarie
  • Aziende operanti nei settori della sicurezza e della difesa
  • Organizzazioni educative
  • istituzioni finanziarie
  • Aziende di sviluppo software

Nonostante l'ampia strategia di targeting, l'efficacia complessiva della campagna sembra limitata. È stato confermato solo un piccolo numero di infezioni, che hanno interessato principalmente i dispositivi personali dei dipendenti degli istituti scolastici.

All’interno di AGEWHEEZE: Capacità e meccanismi di persistenza

AGEWHEEZE è un trojan di accesso remoto basato su Go, progettato per il controllo e la sorveglianza estesa dei sistemi. Una volta installato, stabilisce una comunicazione con un server di comando e controllo all'indirizzo 54.36.237.92 utilizzando il protocollo WebSocket.

Il malware consente agli aggressori di svolgere un'ampia gamma di attività dannose, tra cui:

  • Esecuzione di comandi arbitrari e gestione dei processi di sistema
  • Eseguire operazioni sui file e manipolare i dati memorizzati.
  • Acquisizione di schermate e monitoraggio dell'attività dell'utente
  • Emulazione degli input di mouse e tastiera
  • Modificare il contenuto degli appunti
  • Mantenere la persistenza tramite attività pianificate, modifiche al Registro di sistema di Windows o posizionamento nella directory di avvio.

Questa combinazione di caratteristiche rende AGEWHEEZE uno strumento versatile per lo spionaggio, il movimento laterale e la compromissione a lungo termine dei sistemi.

Infrastruttura ingannevole e fabbricazione assistita dall’intelligenza artificiale

L'indagine sul dominio fraudolento 'cert-ua.tech' ha rivelato indizi di sviluppo automatizzato o assistito dall'intelligenza artificiale. Il codice sorgente HTML del sito web conteneva un commento significativo in russo: 'С Любовью, КИБЕР СЕРП' ("Con amore, CYBER SERP"), che suggerisce un'attribuzione a un gruppo che si fa chiamare Cyber Serp.

Cyber Serp ha rivendicato la propria affiliazione con ambienti informatici clandestini ucraini attraverso il suo canale Telegram, creato nel novembre 2025 e che ha accumulato oltre 700 iscritti. Il gruppo ha affermato pubblicamente che la campagna di phishing ha preso di mira fino a un milione di account di posta elettronica e ha portato alla compromissione di oltre 200.000 dispositivi, cifre che superano significativamente le valutazioni indipendenti.

Affermazioni contrastanti e attività di minaccia più ampie

Cyber Serp ha cercato di presentarsi come un attore selettivo, affermando che i cittadini comuni non sarebbero stati colpiti dalle sue operazioni. Tuttavia, tali dichiarazioni sono incoerenti con la natura indiscriminata delle campagne di phishing su larga scala.

In un altro episodio, il gruppo ha rivendicato la responsabilità della violazione di Cipher, affermando di aver avuto accesso ai dati del server, ai database dei clienti e al codice sorgente proprietario. Cipher ha successivamente confermato una violazione limitata che ha coinvolto le credenziali di un dipendente, ma ha sottolineato che:

  • Le infrastrutture principali sono rimaste sicure e operative
  • L'account interessato aveva accesso a un solo progetto non sensibile

Questa discrepanza mette in luce una tattica comune tra gli attori delle minacce, ovvero esagerare l'impatto per amplificare l'influenza e la credibilità percepite.

Valutazione e implicazioni per la sicurezza

La campagna dimostra la continua efficacia delle tattiche di impersonificazione, in particolare quando si sfruttano enti nazionali di sicurezza informatica affidabili. Sebbene l'impatto immediato sia stato contenuto, la sofisticatezza tecnica di AGEWHEEZE e la portata del tentativo di distribuzione segnalano un panorama di minacce persistente e in continua evoluzione.

Si consiglia alle organizzazioni di rafforzare i processi di verifica delle e-mail, esaminare attentamente gli allegati non richiesti e formare il personale sul riconoscimento dei tentativi di impersonificazione che coinvolgono istituzioni autorevoli.

Tendenza

I più visti

Caricamento in corso...