AGEWHEEZE RAT

Các nhà phân tích an ninh mạng đã phát hiện một chiến dịch tấn công lừa đảo có chủ đích, trong đó các tác nhân đe dọa đã giả mạo Đội ứng phó khẩn cấp máy tính của Ukraine để phát tán một công cụ quản trị từ xa có tên là AGEWHEEZE. Chiến dịch này, được cho là do nhóm UAC-0255 thực hiện, dựa vào các email lừa đảo được gửi vào ngày 26 và 27 tháng 3 năm 2026, thúc giục người nhận cài đặt cái được mô tả là "phần mềm chuyên dụng".

Những email này chứa các liên kết đến một tệp lưu trữ ZIP được bảo vệ bằng mật khẩu, được lưu trữ trên Files.fm. Tệp lưu trữ, có tên CERT_UA_protection_tool.zip, được giới thiệu là một tiện ích bảo mật hợp pháp nhưng thực chất lại chứa các phần mềm độc hại. Một số tin nhắn có nguồn gốc từ địa chỉ giả mạo 'incidents@cert-ua.tech', càng củng cố thêm ảo tưởng về tính xác thực.

Hồ sơ mục tiêu và phạm vi tấn công

Chiến dịch này giăng một phạm vi rộng, nhắm vào nhiều tổ chức khác nhau có vai trò quan trọng đối với cơ sở hạ tầng quốc gia và các dịch vụ công cộng. Các tổ chức này bao gồm:

• Chính phủ và các thể chế nhà nước
• Cơ sở y tế và chăm sóc sức khỏe
• Các công ty liên quan đến an ninh và quốc phòng
• Các tổ chức giáo dục
• Các tổ chức tài chính
• Các công ty phát triển phần mềm

Mặc dù chiến lược nhắm mục tiêu rộng rãi, hiệu quả tổng thể của chiến dịch dường như còn hạn chế. Chỉ có một số ít trường hợp nhiễm bệnh được xác nhận, chủ yếu ảnh hưởng đến các thiết bị cá nhân của nhân viên trong các cơ sở giáo dục.

Bên trong AGEWHEEZE: Các khả năng và cơ chế duy trì

AGEWHEEZE là một loại mã độc Trojan truy cập từ xa dựa trên ngôn ngữ Go, được thiết kế để kiểm soát và giám sát hệ thống trên diện rộng. Sau khi được triển khai, nó thiết lập liên lạc với máy chủ điều khiển tại địa chỉ 54.36.237.92 bằng giao thức WebSocket.

Phần mềm độc hại này cho phép kẻ tấn công thực hiện nhiều hoạt động độc hại khác nhau, bao gồm:

• Thực thi các lệnh tùy ý và quản lý các tiến trình hệ thống
• Thực hiện các thao tác với tệp và xử lý dữ liệu đã lưu trữ.
• Chụp ảnh màn hình và theo dõi hoạt động của người dùng.
• Mô phỏng đầu vào chuột và bàn phím
• Thay đổi nội dung bảng nhớ tạm
• Duy trì tính ổn định thông qua các tác vụ theo lịch trình, sửa đổi Registry của Windows hoặc đặt trong thư mục Khởi động.

Sự kết hợp các tính năng này biến AGEWHEEZE thành một công cụ đa năng cho hoạt động gián điệp, di chuyển ngang và xâm nhập hệ thống lâu dài.

Cơ sở hạ tầng đánh lừa và sản xuất được hỗ trợ bởi trí tuệ nhân tạo

Điều tra tên miền giả mạo 'cert-ua.tech' đã phát hiện ra các dấu hiệu của quá trình phát triển tự động hoặc có sự hỗ trợ của trí tuệ nhân tạo. Mã nguồn HTML của trang web chứa một bình luận đáng chú ý bằng tiếng Nga: 'С Любовью, КИБЕР СЕРП' ('Với tình yêu, CYBER SERP'), cho thấy có thể do một nhóm tự xưng là Cyber Serp thực hiện.

Nhóm Cyber Serp đã tuyên bố có liên hệ với các nhóm tội phạm mạng ngầm của Ukraine thông qua kênh Telegram của mình, được thành lập vào tháng 11 năm 2025 và hiện có hơn 700 người đăng ký. Nhóm này công khai khẳng định rằng chiến dịch lừa đảo qua email đã nhắm mục tiêu vào tới một triệu tài khoản email và dẫn đến hơn 200.000 thiết bị bị xâm nhập, những con số này vượt xa các đánh giá độc lập.

Những tuyên bố trái ngược và hoạt động đe dọa rộng hơn

Cyber Serp đã cố gắng tự định vị mình là một tác nhân có chọn lọc, tuyên bố rằng người dân bình thường sẽ không bị ảnh hưởng bởi các hoạt động của họ. Tuy nhiên, những tuyên bố như vậy lại mâu thuẫn với bản chất bừa bãi của các chiến dịch lừa đảo quy mô lớn.

Trong một vụ việc riêng biệt, nhóm này đã nhận trách nhiệm về việc xâm nhập vào hệ thống của Cipher, cáo buộc đã truy cập được vào dữ liệu máy chủ, cơ sở dữ liệu khách hàng và mã nguồn độc quyền. Sau đó, Cipher xác nhận một vụ xâm nhập hạn chế liên quan đến thông tin đăng nhập của một nhân viên nhưng nhấn mạnh rằng:

• Cơ sở hạ tầng cốt lõi vẫn được bảo mật và hoạt động bình thường.
• Tài khoản bị ảnh hưởng chỉ có quyền truy cập vào một dự án duy nhất, không nhạy cảm.

Sự khác biệt này làm nổi bật một chiến thuật phổ biến của các tác nhân đe dọa, đó là phóng đại tác động để khuếch đại tầm ảnh hưởng và độ tin cậy.

Đánh giá và những tác động về an ninh

Chiến dịch này chứng minh tính hiệu quả liên tục của các chiến thuật mạo danh, đặc biệt khi lợi dụng các thực thể an ninh mạng quốc gia đáng tin cậy. Mặc dù tác động tức thời đã được kiểm soát, nhưng sự tinh vi về mặt kỹ thuật của AGEWHEEZE và quy mô của các nỗ lực phân phối cho thấy một bối cảnh mối đe dọa dai dẳng và đang phát triển.

Các tổ chức được khuyến cáo nên tăng cường quy trình xác minh email, kiểm tra kỹ các tệp đính kèm không mong muốn và đào tạo nhân viên về cách nhận biết các nỗ lực mạo danh liên quan đến các tổ chức có thẩm quyền.