Ironia zaufania: Analiza kampanii podszywania się pod CERT-UA i złośliwego oprogramowania AGEWHEEZE

Milion wiadomości e-mail — wolumen, który przytłoczyłby większość działów marketingu — został wysłany w ciągu zaledwie 48 godzin w jednym celu: aby wykorzystać zaufanie, jakim użytkownicy obdarzają krajowe agencje bezpieczeństwa. W dniach 26 i 27 marca 2026 r. grupa hakerska monitorowana jako UAC-0255 przeprowadziła masową kampanię phishingową, podszywając się pod Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Ukrainy (CERT-UA). Maskując się jako główny obrońca cyberprzestrzeni kraju, napastnicy próbowali rozprzestrzeniać wyrafinowanego trojana zdalnego dostępu (RAT) znanego jako AGEWHEEZE.

Ten incydent służy jako dobitne przypomnienie, że w świecie inżynierii społecznej im bardziej autorytatywna jest maska, tym niebezpieczniejsza staje się przynęta. Z perspektywy ryzyka skala tej operacji zapierała dech w piersiach, jednak jej rzeczywisty wpływ pozostał zaskakująco ograniczony, co podkreśla fascynujące starcie między automatyzacją o dużej skali a odpornością nowoczesnych systemów obronnych.

Anatomia phishingu: Cyfrowy koń trojański

Kampania została zbudowana na fundamencie oszustwa. Atakujący wykorzystali adres e-mail „incidents@cert-ua[.]tech”, aby wysyłać pilne ostrzeżenia do organizacji państwowych, centrów medycznych i instytucji finansowych. Wiadomości e-mail nakłaniały odbiorców do pobrania i zainstalowania rzekomego „specjalistycznego oprogramowania” ochronnego. W rzeczywistości był to cyfrowy koń trojański.

Za kulisami link prowadził do chronionego hasłem archiwum ZIP hostowanego w serwisie Files.fm, zatytułowanego „CERT_UA_protection_tool.zip”. Używając chronionego hasłem archiwum, napastnicy starali się ominąć automatyczne skanery poczty e-mail, które często mają trudności z inspekcją zaszyfrowanej zawartości. Gdy użytkownik postępował zgodnie z instrukcjami i uruchamiał plik, nie instalował narzędzia bezpieczeństwa; przekazywał klucze do swojego cyfrowego królestwa.

Techniczna analiza: Czym jest AGEWHEEZE?

Na poziomie architektury AGEWHEEZE to złośliwe oprogramowanie oparte na języku Go, zaprojektowane do kompleksowej inwigilacji i kontroli. Język Go (lub Golang) stał się coraz bardziej popularny wśród twórców złośliwego oprogramowania, ponieważ pozwala na łatwą kompilację międzyplatformową i często skutkuje plikami binarnymi, które są trudne do przeanalizowania dla tradycyjnych programów antywirusowych opartych na sygnaturach.

Po aktywacji AGEWHEEZE ustanawia trwały punkt dostępu. Modyfikuje rejestr systemu Windows, tworzy zaplanowane zadania lub umieszcza się w katalogu Autostart, aby zapewnić przetrwanie po ponownym uruchomieniu systemu. Mówiąc proaktywnie, złośliwe oprogramowanie jest zbudowane z myślą o całkowitej dominacji. Komunikuje się z serwerem dowodzenia i kontroli (C2) pod adresem „54.36.237[.]92” za pomocą WebSockets — protokołu, który pozwala na pełną, dwukierunkową komunikację w czasie rzeczywistym, sprawiając, że kontrola napastnika nad zainfekowaną maszyną wydaje się natychmiastowa.

Zestaw komend obsługiwany przez AGEWHEEZE jest wieloaspektowy i inwazyjny:

• Manipulacja systemem: Wykonywanie dowolnych poleceń i zarządzanie aktywnymi procesami.
• Eksfiltracja danych: Wykonywanie operacji na plikach i modyfikowanie zawartości schowka.
• Inwigilacja: Robienie zrzutów ekranu i emulowanie ruchów myszy lub klawiatury.

W istocie zainfekowane urządzenie staje się marionetką, a haker pociąga za sznurki z oddali.

Powiązanie z AI i persona „Cyber Serp”

Jednym z bardziej subtelnych aspektów tej kampanii jest pochodzenie infrastruktury. Analiza fałszywej strony internetowej „cert-ua[.]tech” sugeruje, że duża część jej zawartości i kodu została wygenerowana przy pomocy sztucznej inteligencji. Odzwierciedla to rosnący trend, w którym AI obniża próg wejścia dla tworzenia przekonujących, lokalnych przynęt phishingowych.

W kodzie źródłowym HTML osadzono podpis: „С Любовью, КИБЕР СЕРП” (Z miłością, CYBER SERP). Grupa ta, która pojawiła się na Telegramie pod koniec 2025 roku, podaje się za jednostkę operacyjną „cyber-podziemia”. Choć ich retoryka jest odważna, techniczne wykonanie w tej konkretnej kampanii było nieco niechlujne. Mimo wysłania miliona e-maili, kampania w dużej mierze zakończyła się niepowodzeniem. CERT-UA poinformował, że zainfekowano jedynie kilka urządzeń osobistych, głównie w instytucjach edukacyjnych.

Dlaczego kampania zawiodła

Dlaczego w praktyce wysyłka miliona e-maili przyniosła tak mizerne rezultaty? Prawdopodobnie sprowadza się to do „ludzkiego firewallu” i dojrzałości zabezpieczeń instytucjonalnych. Większość nowoczesnych korporacyjnych bram pocztowych jest obecnie przeszkolona w wykrywaniu domen łudząco podobnych (jak .tech zamiast oficjalnego .gov.ua). Co więcej, wymóg ręcznego pobrania pliku ZIP z zewnętrznego serwisu hostingowego, takiego jak Files.fm, wpisania hasła i uruchomienia pliku wykonywalnego, jest procesem wymagającym dużego zaangażowania, który wielu przeszkolonych pracowników rozpoznaje obecnie jako sygnał alarmowy.

Podczas analizowania złożonych ataków APT często zauważałem, że najbardziej udane włamania to nie te najgłośniejsze. Kampanie o dużym wolumenie, takie jak ta, często wyzwalają szybkie wykrycie właśnie dlatego, że są tak wszechobecne. Pojedyncze zgłoszenie od jednego czujnego użytkownika może doprowadzić do aktualizacji czarnej listy, która zneutralizuje całą kampanię w ciągu kilku minut.

Wnioski i kroki do podjęcia

Niezależnie od niskiego wskaźnika sukcesu tego konkretnego ataku, podszywanie się pod krajowy CERT jest zagrożeniem systemowym, które wymaga zdecydowanej odpowiedzi. Organizacje muszą wyjść poza zwykłą świadomość w stronę podejścia zero-trust, w którym żadna komunikacja — nawet jeśli wydaje się pochodzić od zaufanego organu — nie jest akceptowana bez weryfikacji.

Co powinieneś zrobić w następnej kolejności:

1. Audyt filtrów poczty: Upewnij się, że brama bezpieczeństwa jest skonfigurowana do wykrywania i kwarantanny e-maili z domen łudząco podobnych oraz tych zawierających linki do publicznych serwisów udostępniania plików.
2. Weryfikacja poza pasmem: Ustal politykę, zgodnie z którą wszelkie „obowiązkowe” aktualizacje oprogramowania zabezpieczającego od agencji zewnętrznych muszą być weryfikowane oficjalnymi, wcześniej ustalonymi kanałami lub poprzez główną stronę .gov danej agencji.
3. Wzmocnienie ochrony punktów końcowych: Korzystaj z narzędzi EDR (Endpoint Detection and Response), które monitorują zachowania charakterystyczne dla AGEWHEEZE, takie jak nieautoryzowane modyfikacje rejestru i nietypowe połączenia WebSocket z nieznanymi adresami IP.
4. Edukacja na temat „przynęty autorytetu”: Przypominaj pracownikom, że napastnicy często podszywają się pod wsparcie IT, dział HR lub agencje rządowe, aby wywołać fałszywe poczucie pilności.

Ostatecznie, łatanie dziur w kadłubie statku jest skuteczne tylko wtedy, gdy jednocześnie wypatruje się gór lodowych. UAC-0255 mógł tym razem zawieść, ale ewolucja phishingu wspomaganego przez AI oznacza, że następna maska, którą założą, będzie prawdopodobnie jeszcze bardziej przekonująca.

Źródła

• CERT-UA Official Incident Reports and Technical Briefings.
• Threat Intelligence Analysis on UAC-0255 and AGEWHEEZE Malware.
• Cybersecurity industry analysis of Go-based Remote Access Trojans.
• Public Telegram archives of the "Cyber Serp" group.