L'ironia della fiducia: analisi dell'impersonificazione del CERT-UA e della campagna malware AGEWHEEZE

Un milione di email—un volume che travolgerebbe la maggior parte dei reparti marketing—sono state inviate in una singola finestra di 48 ore con un unico obiettivo: trasformare in un'arma la fiducia stessa che gli utenti ripongono nelle agenzie di sicurezza nazionale. Il 26 e 27 marzo 2026, il gruppo di attori delle minacce tracciato come UAC-0255 ha lanciato una massiccia campagna di phishing impersonando il Computer Emergency Response Team dell'Ucraina (CERT-UA). Mascherandosi come il principale difensore della sicurezza informatica della nazione, gli aggressori hanno tentato di distribuire un sofisticato trojan di accesso remoto (RAT) noto come AGEWHEEZE.

Questo incidente funge da crudo monito: nel mondo dell'ingegneria sociale, più la maschera è autorevole, più l'esca è pericolosa. Da una prospettiva di rischio, la portata di questa operazione è stata sbalorditiva, eppure il suo impatto effettivo è rimasto curiosamente limitato, evidenziando un affascinante braccio di ferro tra l'automazione ad alto volume e la resilienza dei moderni perimetri difensivi.

L'anatomia del phishing: un cavallo di Troia digitale

La campagna è stata costruita su fondamenta di inganno. Gli aggressori hanno utilizzato l'indirizzo email "incidents@cert-ua[.]tech" para inviare avvisi urgenti a organizzazioni statali, centri medici e istituzioni finanziarie. Le email esortavano i destinatari a scaricare e installare quello che veniva descritto come un "software specializzato" per la protezione. In realtà, si trattava di un cavallo di Troia digitale.

Dietro le quinte, il link portava a un archivio ZIP protetto da password ospitato su Files.fm, intitolato "CERT_UA_protection_tool.zip". Utilizzando un archivio protetto da password, gli aggressori miravano a eludere gli scanner email automatici che spesso faticano a ispezionare i contenuti crittografati. Una volta che un utente seguiva le istruzioni ed eseguiva il file, non stava installando uno strumento di sicurezza; stava consegnando le chiavi del proprio regno digitale.

Approfondimento tecnico: cos'è AGEWHEEZE?

A livello architettonico, AGEWHEEZE è un malware basato su Go progettato per la sorveglianza e il controllo completi. Go (o Golang) è diventato sempre più popolare tra gli autori di malware perché consente una facile compilazione multipiattaforma e spesso produce binari difficili da analizzare per i tradizionali strumenti antivirus basati su firme.

Una volta attivo, AGEWHEEZE stabilisce una presenza persistente. Modifica il Registro di sistema di Windows, crea attività pianificate o si inserisce nella directory di avvio (Startup) per garantire la sopravvivenza al riavvio del sistema. Parlando in modo proattivo, il malware è costruito per il dominio totale. Comunica con un server di comando e controllo (C2) all'indirizzo "54.36.237[.]92" utilizzando WebSockets—un protocollo che consente una comunicazione full-duplex in tempo reale, rendendo il controllo dell'aggressore sulla macchina infetta istantaneo.

Il set di comandi supportato da AGEWHEEZE è sfaccettato e invasivo:

• Manipolazione del sistema: Esecuzione di comandi arbitrari e gestione dei processi attivi.
• Esfiltrazione di dati: Esecuzione di operazioni sui file e modifica del contenuto degli appunti (clipboard).
• Sorveglianza: Cattura di screenshot ed emulazione dell'input di mouse o tastiera.

In sostanza, un dispositivo infetto diventa un burattino, con l'attore della minaccia che tira i fili da lontano.

La connessione con l'IA e il personaggio "Cyber Serp"

Uno degli aspetti più sfumati di questa campagna è l'origine dell'infrastruttura. L'analisi del falso sito web "cert-ua[.]tech" suggerisce che gran parte del suo contenuto e del suo codice sia stata generata con l'assistenza dell'intelligenza artificiale. Ciò riflette una tendenza crescente in cui l'IA abbassa la barriera d'ingresso per la creazione di esche di phishing localizzate e convincenti.

Incorporata nel codice sorgente HTML c'era una firma: "С Любовью, КИБЕР СЕРП" (Con amore, CYBER SERP). Questo gruppo, emerso su Telegram alla fine del 2025, afferma di essere un'unità operativa del "cyber-underground". Sebbene la loro retorica sia audace, la loro esecuzione tecnica in questa specifica campagna è stata piuttosto approssimativa. Nonostante l'invio di un milione di email, la campagna è stata in gran parte infruttuosa. Il CERT-UA ha riferito che solo pochi dispositivi personali, principalmente all'interno di istituti scolastici, sono stati effettivamente compromessi.

Perché la campagna è fallita

In pratica, perché un invio massiccio di un milione di email ha prodotto risultati così scarsi? Probabilmente tutto si riduce al "firewall umano" e alla maturità della sicurezza istituzionale. La maggior parte dei moderni gateway di posta aziendali è ora addestrata a segnalare domini simili (come .tech invece del .gov.ua ufficiale). Inoltre, la richiesta all'utente di scaricare manualmente uno ZIP da un sito di hosting di terze parti come Files.fm, inserire una password ed eseguire un eseguibile è un processo ad alto attrito che molti dipendenti addestrati riconoscono ormai come un segnale d'allarme.

Durante la mia esperienza nell'analisi di attacchi APT complessi, ho spesso notato che le violazioni di maggior successo non sono quelle più appariscenti. Campagne ad alto volume come questa spesso innescano un rilevamento rapido proprio perché sono così pervasive. Una singola segnalazione da parte di un utente vigile può portare a un aggiornamento della blocklist che neutralizza l'intera campagna in pochi minuti.

Lezioni e spunti operativi

Nonostante il basso tasso di successo di questo specifico attacco, l'impersonificazione di un CERT nazionale è una minaccia sistemica che richiede una risposta robusta. Le organizzazioni devono andare oltre la semplice consapevolezza e muoversi verso una mentalità zero-trust in cui nessuna comunicazione—anche se sembra provenire da un'autorità fidata—venga accettata senza verifica.

Cosa dovresti fare ora:

1. Controlla i filtri della posta: Assicurati che il tuo gateway di sicurezza sia configurato per rilevare e mettere in quarantena le email provenienti da domini simili e quelle contenenti link a siti pubblici di condivisione file.
2. Verifica fuori banda (Out-of-Band): Stabilisci una politica secondo cui qualsiasi aggiornamento "obbligatorio" del software di sicurezza da parte di agenzie esterne debba essere verificato attraverso canali ufficiali prestabiliti o il sito web .gov principale dell'agenzia.
3. Rafforza la protezione degli endpoint: Utilizza strumenti EDR (Endpoint Detection and Response) che monitorino i comportamenti specifici esibiti da AGEWHEEZE, come modifiche non autorizzate al registro e connessioni WebSocket insolite a IP sconosciuti.
4. Istruisci sulla "seduzione dell'autorità": Ricorda al personale che gli aggressori impersonano frequentemente il supporto IT, le risorse umane o le agenzie governative per creare un falso senso di urgenza.

In definitiva, tappare le falle nello scafo di una nave è efficace solo se si tiene anche d'occhio gli iceberg. UAC-0255 potrebbe aver fallito questa volta, ma l'evoluzione del phishing assistito dall'IA significa che la prossima maschera che indosseranno sarà probabilmente ancora più convincente.

Fonti

• Report ufficiali sugli incidenti e briefing tecnici del CERT-UA.
• Analisi di Threat Intelligence su UAC-0255 e sul malware AGEWHEEZE.
• Analisi del settore della sicurezza informatica sui Trojan di accesso remoto basati su Go.
• Archivi pubblici di Telegram del gruppo "Cyber Serp".