Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Hulpmiddelen voor extern beheer AGEWHEEZE RAT

AGEWHEEZE RAT

Tegen Mezo in Hulpmiddelen voor extern beheer, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Cybersecurity-analisten hebben een gerichte phishing-aanval ontdekt waarbij cybercriminelen zich voordeden als het Oekraïense Computer Emergency Response Team (CERT) om een beheertool op afstand, genaamd AGEWHEEZE, te verspreiden. De campagne, toegeschreven aan de groep UAC-0255, maakte gebruik van misleidende e-mails die op 26 en 27 maart 2026 werden verzonden en waarin ontvangers werden aangespoord om zogenaamde 'gespecialiseerde software' te installeren.

Deze e-mails bevatten links naar een met een wachtwoord beveiligd ZIP-archief dat werd gehost op Files.fm. Het archief, genaamd CERT_UA_protection_tool.zip, werd gepresenteerd als een legitiem beveiligingsprogramma, maar bevatte in werkelijkheid schadelijke software. Sommige berichten waren afkomstig van het vervalste e-mailadres 'incidents@cert-ua.tech', wat de schijn van authenticiteit verder versterkte.

Doelprofiel en aanvalsbereik

De operatie wierp een breed net uit en richtte zich op een diverse reeks organisaties die cruciaal zijn voor de nationale infrastructuur en openbare diensten. Hieronder vielen onder meer:

  • Overheid en staatsinstellingen
  • Medische en gezondheidszorgfaciliteiten
  • Beveiligings- en defensiegerelateerde bedrijven
  • Onderwijsorganisaties
  • Financiële instellingen
  • Softwareontwikkelingsbedrijven

Ondanks de brede targetingstrategie lijkt de algehele effectiviteit van de campagne beperkt. Slechts een klein aantal infecties werd bevestigd, voornamelijk op persoonlijke apparaten van medewerkers binnen onderwijsinstellingen.

Binnenin AGEWHEEZE: mogelijkheden en persistentiemechanismen

AGEWHEEZE is een op Go gebaseerde trojan voor toegang op afstand, ontworpen voor uitgebreide systeemcontrole en -bewaking. Na installatie legt het via WebSocket-protocollen verbinding met een command-and-controlserver op 54.36.237.92.

De malware stelt aanvallers in staat een breed scala aan kwaadaardige activiteiten uit te voeren, waaronder:

  • Het uitvoeren van willekeurige commando's en het beheren van systeemprocessen.
  • Bestandsbewerkingen uitvoeren en opgeslagen gegevens manipuleren.
  • Het maken van schermafbeeldingen en het monitoren van gebruikersactiviteit.
  • Het emuleren van muis- en toetsenbordinvoer
  • De inhoud van het klembord wijzigen
  • Het behouden van persistentie via geplande taken, wijzigingen in het Windows-register of plaatsing in de opstartmap.

Deze combinatie van eigenschappen maakt AGEWHEEZE een veelzijdig instrument voor spionage, laterale verplaatsing en langdurige systeemcompromittering.

Misleidende infrastructuur en AI-ondersteunde vervalsing

Onderzoek naar het frauduleuze domein 'cert-ua.tech' bracht aanwijzingen aan het licht van geautomatiseerde of door AI ondersteunde ontwikkeling. De HTML-broncode van de website bevatte een opvallende opmerking in het Russisch: 'С Любовью, КИБЕР СЕРП' ('Met liefde, CYBER SERP'), wat suggereert dat de website toebehoort aan een groep die zichzelf Cyber Serp noemt.

Cyber Serp claimt banden met Oekraïense cybercriminele kringen via zijn Telegram-kanaal, dat in november 2025 werd opgericht en inmiddels meer dan 700 abonnees telt. De groep beweerde publiekelijk dat de phishingcampagne zich richtte op maximaal een miljoen e-mailaccounts en resulteerde in meer dan 200.000 gecompromitteerde apparaten, cijfers die aanzienlijk hoger liggen dan onafhankelijke schattingen.

Tegenstrijdige beweringen en bredere dreigingsactiviteiten

Cyber Serp heeft geprobeerd zichzelf te positioneren als een selectieve speler, door te beweren dat gewone burgers geen last zouden ondervinden van hun activiteiten. Dergelijke beweringen stroken echter niet met het willekeurige karakter van grootschalige phishingcampagnes.

In een afzonderlijk incident eiste de groep de verantwoordelijkheid op voor de inbreuk op Cipher, waarbij zij beweerden toegang te hebben verkregen tot servergegevens, klantdatabases en bedrijfseigen broncode. Cipher bevestigde later een beperkte inbreuk waarbij de inloggegevens van een medewerker betrokken waren, maar benadrukte dat:

  • De kerninfrastructuur bleef veilig en operationeel.
  • Het betreffende account had alleen toegang tot één enkel, niet-gevoelig project.

Deze discrepantie benadrukt een veelvoorkomende tactiek onder cybercriminelen: het overdrijven van de impact om de waargenomen invloed en geloofwaardigheid te vergroten.

Beoordeling en implicaties voor de veiligheid

De campagne toont aan dat imitatietactieken nog steeds effectief zijn, met name wanneer ze worden ingezet door vertrouwde nationale cybersecurity-instanties. Hoewel de directe impact beperkt bleef, duiden de technische geavanceerdheid van AGEWHEEZE en de omvang van de pogingen tot verspreiding op een aanhoudend en evoluerend dreigingslandschap.

Organisaties wordt geadviseerd de verificatieprocessen voor e-mails te versterken, ongevraagde bijlagen nauwkeurig te controleren en personeel te trainen in het herkennen van pogingen tot identiteitsfraude waarbij gezaghebbende instellingen worden betrokken.

Trending

Meest bekeken

Bezig met laden...