AGEWHEEZE RAT

Аналітики з кібербезпеки виявили цілеспрямовану фішингову операцію, в якій зловмисники видавали себе за представників Команди реагування на комп'ютерні надзвичайні ситуації України, щоб розповсюдити інструмент віддаленого адміністрування, відомий як AGEWHEEZE. Кампанія, яку приписують групі UAC-0255, спиралася на оманливі електронні листи, надіслані 26 та 27 березня 2026 року, в яких одержувачам закликали встановити те, що було описано як «спеціалізоване програмне забезпечення».

Ці електронні листи містили посилання на захищений паролем ZIP-архів, розміщений на Files.fm. Архів під назвою CERT_UA_protection_tool.zip був представлений як легітимна утиліта безпеки, але натомість доставляв шкідливі корисні навантаження. Деякі повідомлення надходили з підробленої адреси «incidents@cert-ua.tech», що ще більше посилювало ілюзію автентичності.

Профіль цілі та дальність атаки

Операція охопила широке коло організацій, що мають вирішальне значення для національної інфраструктури та державних послуг. До них належали:

• Уряд та державні установи
• Медичні та охоронні заклади
• Компанії, пов'язані з безпекою та обороною
• Освітні організації
• Фінансові установи
• Фірми-розробники програмного забезпечення

Незважаючи на широку стратегію таргетування, загальна ефективність кампанії видається обмеженою. Було підтверджено лише невелику кількість випадків зараження, які вплинули переважно на особисті пристрої працівників навчальних закладів.

Всередині AGEWHEEZE: Можливості та механізми стійкості

AGEWHEEZE — це троян віддаленого доступу на базі Go, розроблений для масштабного системного контролю та спостереження. Після розгортання він встановлює зв'язок із сервером керування та контролю за адресою 54.36.237.92, використовуючи протоколи WebSocket.

Шкідливе програмне забезпечення дозволяє зловмисникам виконувати широкий спектр шкідливих дій, включаючи:

• Виконання довільних команд та керування системними процесами
• Виконання файлових операцій та маніпулювання збереженими даними
• Зняття скріншотів та моніторинг активності користувачів
• Емуляція вводу миші та клавіатури
• Зміна вмісту буфера обміну
• Підтримка постійного виконання за допомогою запланованих завдань, змін у реєстрі Windows або розміщення в каталозі автозавантаження

Таке поєднання функцій робить AGEWHEEZE універсальним інструментом для шпигунства, латерального переміщення та довгострокового компрометування систем.

Оманлива інфраструктура та виготовлення за допомогою штучного інтелекту

Розслідування шахрайського домену cert-ua.tech виявило ознаки автоматизованої або штучно підтриманої розробки. Вихідний HTML-код веб-сайту містив помітний коментар російською мовою: «С любовью, КІБЕР СЕРП» («З любов’ю, CYBER SERP»), що натякало на приписування групі, яка називає себе CyberSerp.

CyberSerp заявила про зв'язок з українськими кіберпідпільними колами через свій Telegram-канал, який був створений у листопаді 2025 року та має понад 700 підписників. Група публічно стверджувала, що фішингова кампанія була спрямована на мільйон облікових записів електронної пошти та призвела до компрометації понад 200 000 пристроїв, що значно перевищує незалежні оцінки.

Суперечливі твердження та ширша загрозлива діяльність

CyberSerp намагався позиціонувати себе як вибіркового гравця, стверджуючи, що пересічні громадяни не постраждають від його операцій. Однак такі заяви суперечать невибірковому характеру масштабних фішингових кампаній.

В окремому інциденті група взяла на себе відповідальність за порушення безпеки Cipher, заявивши про доступ до даних сервера, баз даних клієнтів та власного вихідного коду. Пізніше Cipher підтвердила обмежене викрадання облікових даних співробітника, але наголосила, що:

• Основна інфраструктура залишалася безпечною та функціональною
• Уражений обліковий запис мав доступ лише до одного неконфіденційного проекту.

Ця невідповідність підкреслює поширену тактику серед учасників загрози, яка полягає у перебільшенні впливу для посилення уявного впливу та довіри.

Оцінювання та наслідки для безпеки

Кампанія демонструє постійну ефективність тактики видавання себе за іншу особу, особливо за участю довірених національних органів кібербезпеки. Хоча безпосередній вплив був обмежений, технічна складність AGEWHEEZE та масштаби спроб поширення свідчать про постійний та мінливий ландшафт загроз.

Організаціям рекомендується посилити процеси перевірки електронної пошти, ретельно перевіряти небажані вкладення та навчати персонал розпізнаванню спроб видавання себе за іншу особу, що стосуються авторитетних установ.