L'ironie de la confiance : Analyse de l'usurpation du CERT-UA et de la campagne du malware AGEWHEEZE

Un million d'e-mails—un volume qui submergerait la plupart des départements marketing—ont été envoyés dans une fenêtre unique de 48 heures avec un seul objectif : transformer en arme la confiance même que les utilisateurs accordent aux agences de sécurité nationale. Les 26 et 27 mars 2026, le groupe d'acteurs malveillants suivi sous le nom de UAC-0255 a lancé une campagne massive de phishing usurpant l'identité de l'équipe d'intervention en cas d'urgence informatique d'Ukraine (CERT-UA). En se faisant passer pour le principal défenseur de la cybersécurité du pays, les attaquants ont tenté de distribuer un cheval de Troie d'accès à distance (RAT) sophistiqué connu sous le nom d'AGEWHEEZE.

Cet incident rappelle brutalement que dans le monde de l'ingénierie sociale, plus le masque est autoritaire, plus le leurre est dangereux. Du point de vue du risque, l'ampleur de cette opération était stupéfiante, pourtant son impact réel est resté curieusement limité, mettant en lumière un bras de fer fascinant entre l'automatisation à haut volume et la résilience des périmètres défensifs modernes.

L'anatomie du phishing : un cheval de Troie numérique

La campagne a été bâtie sur un fondement de tromperie. Les attaquants ont utilisé l'adresse e-mail "incidents@cert-ua[.]tech" pour envoyer des avertissements urgents à des organisations étatiques, des centres médicaux et des institutions financières. Les e-mails incitaient les destinataires à télécharger et installer ce qui était décrit comme un « logiciel spécialisé » de protection. En réalité, il s'agissait d'un cheval de Troie numérique.

En coulisses, le lien menait à une archive ZIP protégée par mot de passe hébergée sur Files.fm, intitulée « CERT_UA_protection_tool.zip ». En utilisant une archive protégée par mot de passe, les attaquants visaient à contourner les scanners d'e-mails automatisés qui ont souvent du mal à inspecter les contenus chiffrés. Une fois qu'un utilisateur suivait les instructions et exécutait le fichier, il n'installait pas un outil de sécurité ; il remettait les clés de son royaume numérique.

Analyse technique approfondie : qu'est-ce qu'AGEWHEEZE ?

Au niveau architectural, AGEWHEEZE est un malware basé sur Go conçu pour une surveillance et un contrôle complets. Go (ou Golang) est devenu de plus en plus populaire parmi les auteurs de malwares car il permet une compilation multiplateforme facile et produit souvent des binaires difficiles à analyser pour les outils antivirus traditionnels basés sur les signatures.

Une fois actif, AGEWHEEZE établit un ancrage persistant. Il modifie le registre Windows, crée des tâches planifiées ou se place dans le répertoire de démarrage (Startup) pour s'assurer de survivre à un redémarrage du système. De manière proactive, le malware est conçu pour une domination totale. Il communique avec un serveur de commande et de contrôle (C2) à l'adresse « 54.36.237[.]92 » en utilisant des WebSockets—un protocole qui permet une communication en temps réel et en duplex intégral, rendant le contrôle de l'attaquant sur la machine infectée instantané.

L'ensemble de commandes supporté par AGEWHEEZE est multiforme et intrusif :

• Manipulation du système : Exécution de commandes arbitraires et gestion des processus actifs.
• Exfiltration de données : Opérations sur les fichiers et modification du contenu du presse-papiers.
• Surveillance : Prise de captures d'écran et émulation d'entrées de souris ou de clavier.

Essentiellement, un appareil infecté devient une marionnette dont l'acteur malveillant tire les ficelles à distance.

La connexion IA et le personnage « Cyber Serp »

L'un des aspects les plus nuancés de cette campagne est l'origine de l'infrastructure. L'analyse du faux site web « cert-ua[.]tech » suggère qu'une grande partie de son contenu et de son code a été générée avec l'aide de l'intelligence artificielle. Cela reflète une tendance croissante où l'IA abaisse la barrière à l'entrée pour créer des leurres de phishing localisés et convaincants.

Une signature était intégrée dans le code source HTML : « С Любовью, КИБЕР СЕРП » (Avec amour, CYBER SERP). Ce groupe, apparu sur Telegram fin 2025, prétend être une unité opérationnelle du « cyber-underground ». Bien que leur rhétorique soit audacieuse, leur exécution technique dans cette campagne spécifique était quelque peu bâclée. Malgré l'envoi d'un million d'e-mails, la campagne a été largement infructueuse. Le CERT-UA a rapporté que seuls quelques appareils personnels, principalement au sein d'institutions éducatives, ont été réellement compromis.

Pourquoi la campagne a échoué

En pratique, pourquoi un envoi massif d'un million d'e-mails a-t-il donné des résultats aussi faibles ? Cela revient probablement au « pare-feu humain » et à la maturité de la sécurité institutionnelle. La plupart des passerelles de messagerie d'entreprise modernes sont désormais entraînées pour signaler les domaines similaires (comme .tech au lieu de l'officiel .gov.ua). De plus, l'exigence pour un utilisateur de télécharger manuellement un ZIP depuis un site d'hébergement tiers comme Files.fm, de saisir un mot de passe et d'exécuter un exécutable est un processus à friction élevée que de nombreux employés formés reconnaissent désormais comme un signal d'alarme.

Au cours de mon expérience d'analyse d'attaques APT complexes, j'ai souvent constaté que les violations les plus réussies ne sont pas les plus bruyantes. Les campagnes à gros volume comme celle-ci déclenchent souvent une détection rapide précisément parce qu'elles sont omniprésentes. Un seul rapport d'un utilisateur vigilant peut conduire à une mise à jour de la liste de blocage qui neutralise l'ensemble de la campagne en quelques minutes.

Leçons et mesures concrètes

Nonobstant le faible taux de réussite de cette attaque spécifique, l'usurpation d'un CERT national est une menace systémique qui nécessite une réponse robuste. Les organisations doivent aller au-delà de la simple sensibilisation pour adopter une mentalité « zero-trust » où aucune communication—même si elle semble provenir d'une autorité de confiance—n'est acceptée sans vérification.

Ce que vous devriez faire ensuite :

1. Auditez vos filtres de messagerie : Assurez-vous que votre passerelle de sécurité est configurée pour détecter et mettre en quarantaine les e-mails provenant de domaines similaires et ceux contenant des liens vers des sites publics de partage de fichiers.
2. Vérifiez hors canal : Établissez une politique stipulant que toute mise à jour logicielle de sécurité « obligatoire » provenant d'agences externes doit être vérifiée par des canaux officiels préétablis ou sur le site web .gov principal de l'agence.
3. Renforcez la protection des terminaux : Utilisez des outils EDR (Endpoint Detection and Response) qui surveillent les comportements spécifiques affichés par AGEWHEEZE, tels que les modifications non autorisées du registre et les connexions WebSocket inhabituelles vers des IP inconnues.
4. Éduquez sur le « leurre de l'autorité » : Rappelez au personnel que les attaquants usurpent fréquemment l'identité du support informatique, des RH ou des agences gouvernementales pour créer un faux sentiment d'urgence.

En fin de compte, colmater les brèches dans la coque d'un navire n'est efficace que si vous gardez également un œil attentif sur les icebergs. UAC-0255 a peut-être échoué cette fois, mais l'évolution du phishing assisté par l'IA signifie que le prochain masque qu'ils porteront sera probablement encore plus convaincant.

Sources

• CERT-UA Official Incident Reports and Technical Briefings.
• Threat Intelligence Analysis on UAC-0255 and AGEWHEEZE Malware.
• Cybersecurity industry analysis of Go-based Remote Access Trojans.
• Public Telegram archives of the "Cyber Serp" group.