AGEWHEEZE RAT

网络安全分析师发现了一起有针对性的网络钓鱼行动，攻击者冒充乌克兰计算机应急响应小组（CERT），散布名为AGEWHEEZE的远程管理工具。此次行动被认为是UAC-0255组织所为，其主要手段是于2026年3月26日和27日发送欺骗性电子邮件，诱骗收件人安装所谓的“专用软件”。

这些邮件包含指向托管在 Files.fm 上的受密码保护的 ZIP 压缩包的链接。该压缩包名为 CERT_UA_protection_tool.zip，伪装成合法的安全工具，但实际上却包含恶意代码。部分邮件的发件人地址为伪造的“incidents@cert-ua.tech”，进一步增强了其真实性的假象。

目标特征和攻击范围

此次行动范围广泛，目标涵盖了对国家基础设施和公共服务至关重要的各类机构，其中包括：

• 政府和国家机构
• 医疗保健设施
• 安全和国防相关公司
• 教育机构
• 金融机构
• 软件开发公司

尽管采取了广泛的目标策略，但此次防控活动的整体效果似乎有限。仅确诊了少量感染病例，主要影响教育机构员工的个人设备。

AGEWHEEZE内部结构：功能和持久性机制

AGEWHEEZE 是一款基于 Go 语言的远程访问木马，旨在对系统进行广泛的控制和监视。部署后，它会使用 WebSocket 协议与位于 54.36.237.92 的命令与控制服务器建立通信。

该恶意软件使攻击者能够执行各种恶意活动，包括：

• 执行任意命令和管理系统进程
• 执行文件操作和处理存储的数据
• 截取屏幕截图并监控用户活动
• 模拟鼠标和键盘输入
• 更改剪贴板内容

AGEWHEEZE 的这些功能组合使其成为间谍活动、横向移动和长期系统入侵的多功能工具。

欺骗性基础设施和人工智能辅助制造

对欺诈域名“cert-ua.tech”的调查显示，该网站可能由自动化或人工智能辅助开发。该网站的HTML源代码中包含一条引人注目的俄语注释：“С Любовью, КИБЕР СЕРП”（“With Love, CYBER SERP”），暗示该网站可能出自一个名为Cyber Serp的组织。

Cyber Serp 通过其 Telegram 频道声称与乌克兰网络地下组织有关联。该频道创建于 2025 年 11 月，目前已积累了 700 多名订阅者。该组织公开宣称，其网络钓鱼活动的目标是多达一百万个电子邮件账户，并导致超过 20 万台设备被入侵，这些数字远超独立评估的结果。

相互矛盾的说法和更广泛的威胁活动

Cyber Serp试图将自己定位为选择性攻击者，声称其行动不会影响普通民众。然而，这种说法与大规模网络钓鱼活动的无差别攻击性质并不相符。

在另一起事件中，该组织声称对入侵 Cipher 公司负责，并声称获得了服务器数据、客户数据库和专有源代码的访问权限。Cipher 公司随后证实，其系统遭到有限泄露，涉及一名员工的凭证，但强调：

• 核心基础设施保持安全运行状态
• 受影响的账户仅能访问一个非敏感项目。

这种差异凸显了威胁行为者的一种常见策略，即夸大影响以增强其感知到的影响力和可信度。

评估与安全影响

此次攻击活动表明，冒充策略依然有效，尤其是在利用可信的国家网络安全机构时。虽然其直接影响已被控制，但AGEWHEEZE的技术复杂性和试图传播的规模表明，网络威胁形势持续存在且不断演变。

建议各组织加强电子邮件验证流程，仔细审查未经请求的附件，并对员工进行培训，使其能够识别涉及权威机构的冒充行为。