Die Ironie des Vertrauens: Analyse der CERT-UA-Imitierung und der AGEWHEEZE-Malware-Kampagne

Eine Million E-Mails – ein Volumen, das die meisten Marketingabteilungen überfordern würde – wurden in einem einzigen 48-Stunden-Zeitfenster mit einem Ziel versandt: das Vertrauen zu missbrauchen, das Nutzer in nationale Sicherheitsbehörden setzen. Am 26. und 27. März 2026 startete die als UAC-0255 verfolgte Bedrohungsgruppe eine massive Phishing-Kampagne, bei der sie sich als das Computer Emergency Response Team der Ukraine (CERT-UA) ausgab. Indem sie sich als der primäre Cybersicherheitsverteidiger des Landes tarnte, versuchten die Angreifer, einen hochentwickelten Remote-Access-Trojaner (RAT) namens AGEWHEEZE zu verbreiten.

Dieser Vorfall dient als eindringliche Erinnerung daran, dass in der Welt des Social Engineering der Köder umso gefährlicher ist, je autoritärer die Maske wirkt. Aus Risikoperspektive war das Ausmaß dieser Operation atemberaubend, doch ihre tatsächliche Auswirkung blieb merkwürdigerweise begrenzt, was ein faszinierendes Tauziehen zwischen hochvolumiger Automatisierung und der Widerstandsfähigkeit moderner Verteidigungsperimeter verdeutlicht.

Die Anatomie des Phishings: Ein digitales Trojanisches Pferd

Die Kampagne basierte auf Täuschung. Die Angreifer nutzten die E-Mail-Adresse „incidents@cert-ua[.]tech“, um dringende Warnungen an staatliche Organisationen, medizinische Zentren und Finanzinstitute zu senden. In den E-Mails wurden die Empfänger aufgefordert, eine als „spezialisierte Software“ beschriebene Anwendung zum Schutz herunterzuladen und zu installieren. In Wirklichkeit handelte es sich dabei um ein digitales Trojanisches Pferd.

Hinter den Kulissen führte der Link zu einem passwortgeschützten ZIP-Archiv, das auf Files.fm gehostet wurde und den Titel „CERT_UA_protection_tool.zip“ trug. Durch die Verwendung eines passwortgeschützten Archivs versuchten die Angreifer, automatisierte E-Mail-Scanner zu umgehen, die oft Schwierigkeiten haben, verschlüsselte Inhalte zu prüfen. Sobald ein Benutzer den Anweisungen folgte und die Datei ausführte, installierte er kein Sicherheitstool, sondern übergab die Schlüssel zu seinem digitalen Reich.

Technischer Deep Dive: Was ist AGEWHEEZE?

Auf architektonischer Ebene ist AGEWHEEZE eine Go-basierte Malware, die für umfassende Überwachung und Kontrolle entwickelt wurde. Go (oder Golang) wird bei Malware-Autoren immer beliebter, da es eine einfache plattformübergreifende Kompilierung ermöglicht und oft zu Binärdateien führt, die für herkömmliche signaturbasierte Antiviren-Tools schwer zu analysieren sind.

Einmal aktiv, etabliert AGEWHEEZE eine dauerhafte Präsenz. Es modifiziert die Windows-Registrierung, erstellt geplante Aufgaben oder kopiert sich in das Autostart-Verzeichnis, um einen Systemneustart zu überstehen. Proaktiv betrachtet ist die Malware auf totale Dominanz ausgelegt. Sie kommuniziert mit einem Command-and-Control-Server (C2) unter „54.36.237[.]92“ über WebSockets – ein Protokoll, das eine Vollduplex-Echtzeitkommunikation ermöglicht, wodurch sich die Kontrolle des Angreifers über den infizierten Rechner unmittelbar anfühlt.

Der von AGEWHEEZE unterstützte Befehlssatz ist vielfältig und invasiv:

• Systemmanipulation: Ausführen beliebiger Befehle und Verwalten aktiver Prozesse.
• Datenexfiltration: Durchführen von Dateioperationen und Ändern von Zwischenablageinhalten.
• Überwachung: Erstellen von Screenshots und Emulieren von Maus- oder Tastatureingaben.

Im Wesentlichen wird ein infiziertes Gerät zu einer Marionette, bei der der Angreifer aus der Ferne die Fäden zieht.

Die KI-Verbindung und die „Cyber Serp“-Persona

Einer der nuancierteren Aspekte dieser Kampagne ist der Ursprung der Infrastruktur. Die Analyse der gefälschten Website „cert-ua[.]tech“ deutet darauf hin, dass ein Großteil ihres Inhalts und Codes mit Hilfe von künstlicher Intelligenz erstellt wurde. Dies spiegelt einen wachsenden Trend wider, bei dem KI die Einstiegshürde für die Erstellung überzeugender, lokalisierter Phishing-Köder senkt.

Im HTML-Quellcode war eine Signatur eingebettet: „С Любовью, КИБЕР СЕРП“ (Mit Liebe, CYBER SERP). Diese Gruppe, die Ende 2025 auf Telegram auftauchte, behauptet, eine operative Einheit des „Cyber-Untergrunds“ zu sein. Während ihre Rhetorik kühn ist, war ihre technische Ausführung in dieser spezifischen Kampagne eher nachlässig. Trotz des Versands von einer Million E-Mails war die Kampagne weitgehend erfolglos. CERT-UA berichtete, dass nur wenige persönliche Geräte, primär in Bildungseinrichtungen, tatsächlich kompromittiert wurden.

Warum die Kampagne scheiterte

Warum hat ein Versand von einer Million E-Mails in der Praxis so geringe Ergebnisse erzielt? Wahrscheinlich liegt es an der „menschlichen Firewall“ und der Reife der institutionellen Sicherheit. Die meisten modernen Enterprise-Mail-Gateways sind heute darauf trainiert, Lookalike-Domains zu kennzeichnen (wie .tech anstelle des offiziellen .gov.ua). Darüber hinaus ist die Anforderung an einen Benutzer, manuell eine ZIP-Datei von einer Hosting-Seite eines Drittanbieters wie Files.fm herunterzuladen, ein Passwort einzugeben und eine ausführbare Datei auszuführen, ein prozessualer Widerstand, den viele geschulte Mitarbeiter heute als Warnsignal erkennen.

Während meiner Zeit bei der Analyse komplexer APT-Angriffe habe ich oft festgestellt, dass die erfolgreichsten Sicherheitsverletzungen nicht die lautesten sind. Hochvolumige Kampagnen wie diese lösen oft eine schnelle Erkennung aus, gerade weil sie so allgegenwärtig sind. Ein einziger Bericht eines wachsamen Benutzers kann zu einer Aktualisierung der Sperrliste führen, die die gesamte Kampagne innerhalb von Minuten neutralisiert.

Lektionen und konkrete Maßnahmen

Ungeachtet der geringen Erfolgsquote dieses spezifischen Angriffs ist die Imitierung eines nationalen CERT eine systemische Bedrohung, die eine robuste Reaktion erfordert. Organisationen müssen über die einfache Sensibilisierung hinausgehen und eine Zero-Trust-Mentalität entwickeln, bei der keine Kommunikation – selbst wenn sie von einer vertrauenswürdigen Behörde zu kommen scheint – ohne Überprüfung akzeptiert wird.

Was Sie als Nächstes tun sollten:

1. Überprüfen Sie Ihre E-Mail-Filter: Stellen Sie sicher, dass Ihr Sicherheits-Gateway so konfiguriert ist, dass E-Mails von Lookalike-Domains und solche mit Links zu öffentlichen File-Sharing-Seiten erkannt und unter Quarantäne gestellt werden.
2. Out-of-Band verifizieren: Legen Sie eine Richtlinie fest, nach der alle „obligatorischen“ Sicherheitssoftware-Updates von externen Behörden über offizielle, vorab festgelegte Kanäle oder die primäre .gov-Website der Behörde verifiziert werden müssen.
3. Endpunktschutz stärken: Verwenden Sie EDR-Tools (Endpoint Detection and Response), die auf die spezifischen Verhaltensweisen von AGEWHEEZE achten, wie unbefugte Registrierungsänderungen und ungewöhnliche WebSocket-Verbindungen zu unbekannten IPs.
4. Aufklärung über den „Autoritätsköder“: Erinnern Sie die Mitarbeiter daran, dass Angreifer häufig den IT-Support, die Personalabteilung oder Regierungsbehörden imitieren, um ein falsches Gefühl der Dringlichkeit zu erzeugen.

Letztendlich ist das Patchen als Stopfen von Löchern im Schiffsrumpf nur dann effektiv, wenn man auch scharf nach Eisbergen Ausschau hält. UAC-0255 mag dieses Mal gescheitert sein, aber die Entwicklung von KI-gestütztem Phishing bedeutet, dass die nächste Maske, die sie tragen, wahrscheinlich noch überzeugender sein wird.

Quellen

• Offizielle Vorfallberichte und technische Briefings von CERT-UA.
• Threat-Intelligence-Analyse zu UAC-0255 und der AGEWHEEZE-Malware.
• Analysen der Cybersicherheitsbranche zu Go-basierten Remote-Access-Trojanern.
• Öffentliche Telegram-Archive der „Cyber Serp“-Gruppe.