O Computer Emergency Response Team da Ucrânia (CERT-UA) divulgou detalhes de uma nova campanha de phishing na qual a própria agência de cibersegurança foi falsificada para distribuir uma ferramenta de administração remota chamada AGEWHEEZE.
Nos ataques realizados em 26 e 27 de março de 2026, o grupo responsável, identificado como UAC-0255, enviou e-mails se passando pelo CERT-UA.
As mensagens continham um arquivo ZIP protegido por senha, hospedado no Files.fm, e incentivavam os destinatários a instalar um “software especializado”.
Os alvos da campanha incluíram órgãos governamentais, centros médicos, empresas de segurança, instituições de ensino, instituições financeiras e companhias de desenvolvimento de software.
Parte dos e-mails foi enviada a partir do endereço [email protected].
O arquivo ZIP, nomeado CERT_UA_protection_tool.zip, tinha como objetivo baixar um malware disfarçado como software de segurança da agência.
Segundo o CERT-UA, trata-se de um trojan de acesso remoto batizado AGEWHEEZE.
Desenvolvido em Go, o malware se comunica com um servidor externo (54.36.237.92) via WebSockets e oferece uma ampla variedade de comandos.
Entre suas funcionalidades estão a execução de comandos, operações com arquivos, modificação da área de transferência, emulação de mouse e teclado, captura de telas e gerenciamento de processos e serviços.
Para manter-se ativo, o trojan cria persistência por meio de tarefas agendadas, modificações no Registro do Windows ou adicionando-se à pasta de inicialização.
A avaliação é que o ataque teve pouco sucesso.
“Foram identificados no máximo alguns dispositivos pessoais infectados pertencentes a funcionários de instituições de ensino de diferentes tipos de propriedade”, informou a agência.
“Os especialistas da equipe prestaram a assistência metodológica e prática necessária.”
A análise do site falso cert-ua.tech indicou que ele provavelmente foi criado com o auxílio de ferramentas de inteligência artificial (IA).
O código-fonte HTML continha um comentário em russo: “С Любовью, КИБЕР СЕРП”, que significa “Com amor, CYBER SERP”.
Em publicações no Telegram, o grupo Cyber Serp afirma ser “operadores do ciber-submundo da Ucrânia”.
O canal foi criado em novembro de 2025 e conta com mais de 700 seguidores.
O ator da ameaça revelou que os e-mails de phishing foram enviados para 1 milhão de caixas postais no domínio ukr.net e que mais de 200 mil dispositivos teriam sido comprometidos.
“Não somos bandidos, o cidadão comum ucraniano nunca sofrerá com nossas ações”, disse em uma publicação.
No mês passado, o Cyber Serp assumiu a autoria de um suposto ataque à empresa ucraniana de cibersegurança Cipher, afirmando ter obtido um dump completo dos servidores, incluindo banco de dados de clientes e código-fonte da linha de produtos CIPS, entre outros.
Em nota no site oficial, a Cipher reconheceu que os invasores comprometeram credenciais de um funcionário de uma de suas empresas de tecnologia, mas informou que sua infraestrutura segue funcionando normalmente.
O usuário afetado tinha acesso a um único projeto, que não continha dados sensíveis, acrescentou a empresa.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...