La ironía de la confianza: Análisis de la suplantación de CERT-UA y la campaña de malware AGEWHEEZE

Un millón de correos electrónicos —un volumen que abrumaría a la mayoría de los departamentos de marketing— fueron enviados en un solo periodo de 48 horas con un objetivo: convertir en arma la propia confianza que los usuarios depositan en las agencias de seguridad nacional. El 26 y 27 de marzo de 2026, el grupo de actores de amenazas identificado como UAC-0255 lanzó una campaña masiva de phishing suplantando al Equipo de Respuesta ante Emergencias Informáticas de Ucrania (CERT-UA). Al hacerse pasar por el principal defensor de la ciberseguridad del país, los atacantes intentaron distribuir un sofisticado troyano de acceso remoto (RAT) conocido como AGEWHEEZE.

Este incidente sirve como un crudo recordatorio de que, en el mundo de la ingeniería social, cuanto más autoritaria es la máscara, más peligroso es el señuelo. Desde una perspectiva de riesgo, la escala de esta operación fue asombrosa; sin embargo, su impacto real siguió siendo curiosamente limitado, lo que resalta un fascinante tira y afloja entre la automatización de alto volumen y la resiliencia de los perímetros defensivos modernos.

La anatomía del phishing: Un caballo de Troya digital

La campaña se construyó sobre una base de engaño. Los atacantes utilizaron la dirección de correo electrónico "incidents@cert-ua[.]tech" para enviar advertencias urgentes a organizaciones estatales, centros médicos e instituciones financieras. Los correos instaban a los destinatarios a descargar e instalar lo que se describía como "software especializado" para su protección. En realidad, se trataba de un caballo de Troya digital.

Entre bastidores, el enlace conducía a un archivo ZIP protegido por contraseña alojado en Files.fm, titulado "CERT_UA_protection_tool.zip". Al utilizar un archivo protegido por contraseña, los atacantes pretendían eludir los escáneres de correo electrónico automatizados que a menudo tienen dificultades para inspeccionar contenidos cifrados. Una vez que el usuario seguía las instrucciones y ejecutaba el archivo, no estaba instalando una herramienta de seguridad; estaba entregando las llaves de su reino digital.

Inmersión técnica profunda: ¿Qué es AGEWHEEZE?

A nivel arquitectónico, AGEWHEEZE es un malware basado en Go diseñado para la vigilancia y el control integral. Go (o Golang) se ha vuelto cada vez más popular entre los autores de malware porque permite una fácil compilación multiplataforma y a menudo genera binarios que son difíciles de analizar para las herramientas antivirus tradicionales basadas en firmas.

Una vez activo, AGEWHEEZE establece un punto de apoyo persistente. Modifica el Registro de Windows, crea tareas programadas o se deposita en el directorio de Inicio (Startup) para asegurar su supervivencia tras un reinicio del sistema. Hablando proactivamente, el malware está diseñado para el dominio total. Se comunica con un servidor de comando y control (C2) en "54.36.237[.]92" utilizando WebSockets —un protocolo que permite la comunicación bidireccional en tiempo real, haciendo que el control del atacante sobre la máquina infectada parezca instantáneo.

El conjunto de comandos soportado por AGEWHEEZE es polifacético e intrusivo:

• Manipulación del sistema: Ejecución de comandos arbitrarios y gestión de procesos activos.
• Exfiltración de datos: Realización de operaciones de archivos y modificación del contenido del portapapeles.
• Vigilancia: Toma de capturas de pantalla y emulación de entrada de ratón o teclado.

Esencialmente, un dispositivo infectado se convierte en una marioneta, con el actor de la amenaza moviendo los hilos desde lejos.

La conexión con la IA y la identidad de "Cyber Serp"

Uno de los aspectos más matizados de esta campaña es el origen de la infraestructura. El análisis del sitio web falso "cert-ua[.]tech" sugiere que gran parte de su contenido y código fue generado con la ayuda de inteligencia artificial. Esto refleja una tendencia creciente donde la IA reduce la barrera de entrada para crear señuelos de phishing localizados y convincentes.

Incrustada en el código fuente HTML había una firma: "С Любовью, КИБЕР СЕРП" (Con amor, CYBER SERP). Este grupo, que surgió en Telegram a finales de 2025, afirma ser una unidad operativa del "subsuelo cibernético". Aunque su retórica es audaz, su ejecución técnica en esta campaña específica fue algo descuidada. A pesar de enviar un millón de correos electrónicos, la campaña fue en gran medida infructuosa. CERT-UA informó que solo unos pocos dispositivos personales, principalmente dentro de instituciones educativas, se vieron realmente comprometidos.

Por qué falló la campaña

En la práctica, ¿por qué un envío masivo de un millón de correos electrónicos dio resultados tan bajos? Probablemente se deba al "firewall humano" y a la madurez de la seguridad institucional. La mayoría de las pasarelas de correo empresariales modernas están ahora entrenadas para marcar dominios similares (como .tech en lugar del oficial .gov.ua). Además, el requisito de que un usuario descargue manualmente un ZIP de un sitio de alojamiento de terceros como Files.fm, introduzca una contraseña y ejecute un ejecutable es un proceso de alta fricción que muchos empleados capacitados ahora reconocen como una señal de alerta.

Durante mi tiempo analizando ataques APT complejos, a menudo he visto que las brechas más exitosas no son las más ruidosas. Las campañas de alto volumen como esta suelen activar una detección rápida precisamente porque son muy generalizadas. Un solo informe de un usuario vigilante puede llevar a una actualización de la lista de bloqueo que neutralice toda la campaña en cuestión de minutos.

Lecciones y conclusiones prácticas

A pesar de la baja tasa de éxito de este ataque específico, la suplantación de un CERT nacional es una amenaza sistémica que requiere una respuesta sólida. Las organizaciones deben ir más allá de la simple concienciación y avanzar hacia una mentalidad de "zero-trust" (confianza cero) donde ninguna comunicación —incluso si parece provenir de una autoridad confiable— sea aceptada sin verificación.

Qué debe hacer a continuación:

1. Audite sus filtros de correo: Asegúrese de que su pasarela de seguridad esté configurada para detectar y poner en cuarentena correos electrónicos de dominios similares y aquellos que contengan enlaces a sitios públicos de intercambio de archivos.
2. Verifique fuera de banda: Establezca una política de que cualquier actualización de software de seguridad "obligatoria" de agencias externas debe verificarse a través de canales oficiales preestablecidos o el sitio web .gov principal de la agencia.
3. Refuerce la protección de endpoints: Utilice herramientas EDR (Detección y Respuesta de Endpoints) que monitoreen los comportamientos específicos que exhibe AGEWHEEZE, como modificaciones no autorizadas del registro y conexiones WebSocket inusuales a IPs desconocidas.
4. Eduque sobre el "señuelo de la autoridad": Recuerde al personal que los atacantes frecuentemente suplantan al soporte técnico, RR.HH. o agencias gubernamentales para crear un falso sentido de urgencia.

En última instancia, parchar como si se taparan agujeros en el casco de un barco solo es efectivo si también se mantiene una vigilancia constante de los icebergs. Puede que UAC-0255 haya fallado esta vez, pero la evolución del phishing asistido por IA significa que la próxima máscara que usen probablemente será aún más convincente.

Fuentes

• Informes oficiales de incidentes y sesiones técnicas de CERT-UA.
• Análisis de inteligencia de amenazas sobre el malware UAC-0255 y AGEWHEEZE.
• Análisis de la industria de ciberseguridad sobre troyanos de acceso remoto basados en Go.
• Archivos públicos de Telegram del grupo "Cyber Serp".