信任的讽刺：分析冒充 CERT-UA 与 AGEWHEEZE 恶意软件活动

100 万封电子邮件——这一数量足以让大多数营销部门望而生畏——在短短 48 小时内发出，其目标只有一个：将用户对国家安全机构的信任武器化。2026 年 3 月 26 日和 27 日，被追踪为 UAC-0255 的威胁组织发起了一场大规模的网络钓鱼活动，冒充乌克兰计算机应急响应小组 (CERT-UA)。通过伪装成该国的主要网络安全防御者，攻击者试图分发一种名为 AGEWHEEZE 的复杂远程访问木马 (RAT)。

这一事件提醒我们，在社会工程学的世界里，伪装得越权威，诱饵就越危险。从风险角度来看，这次行动的规模令人叹为观止，但其实际影响却出奇地有限，这凸显了高容量自动化与现代防御边界韧性之间引人入胜的博弈。

网络钓鱼剖析：数字特洛伊木马

该活动建立在欺骗的基础之上。攻击者利用电子邮件地址 "incidents@cert-ua[.]tech" 向国家机构、医疗中心和金融机构发送紧急警告。邮件敦促收件人下载并安装所谓的“专用保护软件”。实际上，这是一个数字特洛伊木马。

在幕后，链接指向托管在 Files.fm 上的一个受密码保护的 ZIP 压缩包，标题为 "CERT_UA_protection_tool.zip"。通过使用受密码保护的压缩包，攻击者的目的是绕过通常难以检查加密内容的自动电子邮件扫描器。一旦用户按照指示执行了文件，他们安装的并不是安全工具，而是交出了数字王国的钥匙。

技术深度解析：什么是 AGEWHEEZE？

在架构层面，AGEWHEEZE 是一款基于 Go 语言开发的恶意软件，旨在进行全面的监控和控制。Go（或 Golang）在恶意软件作者中越来越受欢迎，因为它允许轻松的跨平台编译，并且生成的二进制文件通常让传统的基于特征码的反病毒工具难以解析。

一旦激活，AGEWHEEZE 就会建立持久的立足点。它会修改 Windows 注册表、创建计划任务或将自身放入启动目录，以确保在系统重启后依然存活。从主动防御的角度来看，该恶意软件旨在实现完全控制。它使用 WebSockets 与位于 "54.36.237[.]92" 的命令与控制 (C2) 服务器通信——这是一种允许全双工、实时通信的协议，使攻击者对受感染机器的控制感觉是即时的。

AGEWHEEZE 支持的命令集是多方面的且具有侵入性：

• 系统操纵： 执行任意命令并管理活动进程。
• 数据窃取： 执行文件操作并修改剪贴板内容。
• 监视： 截取屏幕截图并模拟鼠标或键盘输入。

本质上，受感染的设备变成了一个傀儡，威胁者在远处操控着丝线。

AI 关联与“Cyber Serp”人格

此次活动中一个更微妙的方面是基础设施的来源。对虚假的 "cert-ua[.]tech" 网站的分析表明，其大部分内容和代码是在人工智能的协助下生成的。这反映了一个日益增长的趋势，即 AI 降低了创建具有说服力的、本地化的网络钓鱼诱饵的门槛。

在 HTML 源代码中嵌入了一个签名：“С Любовью, КИБЕР СЕРП”（带着爱，CYBER SERP）。该组织于 2025 年底在 Telegram 上出现，声称是一个“网络地下”行动单位。虽然他们的措辞大胆，但在这次特定活动中的技术执行却有些草率。尽管发送了 100 万封电子邮件，但该活动基本上是不成功的。CERT-UA 报告称，只有少数个人设备（主要在教育机构内）实际遭到了破坏。

为何此次活动受挫

在实践中，为什么百万级的电子邮件轰炸产出如此之低？这可能归结为“人为防火墙”和机构安全的成熟。大多数现代企业邮件网关现在都经过训练，可以标记相似域名（例如使用 .tech 而不是官方的 .gov.ua）。此外，要求用户手动从 Files.fm 等第三方托管网站下载 ZIP、输入密码并运行可执行文件是一个高摩擦的过程，许多受过培训的员工现在将其视为危险信号。

在我分析复杂的 APT 攻击期间，我经常发现最成功的入侵并不是那些声势最大的。像这样的大规模活动往往会触发快速检测，正是因为它们无处不在。一名警惕的用户提交的一份报告就可能导致黑名单更新，从而在几分钟内使整个活动失效。

教训与可操作的建议

尽管这次特定攻击的成功率较低，但冒充国家级 CERT 是一种系统性威胁，需要强有力的回应。组织必须超越简单的意识层面，转向零信任思维，即任何通信——即使它看起来来自受信任的权威机构——在未经验证的情况下都不被接受。

你接下来的行动：

1. 审计邮件过滤器： 确保您的安全网关配置为检测并隔离来自相似域名以及包含公共文件共享网站链接的电子邮件。
2. 带外验证： 建立一项政策，规定来自外部机构的任何“强制性”安全软件更新必须通过官方、预先建立的渠道或该机构的主要 .gov 网站进行验证。
3. 加强终端保护： 使用 EDR（终端检测与响应）工具，监控 AGEWHEEZE 表现出的特定行为，例如未经授权的注册表修改以及与未知 IP 的异常 WebSocket 连接。
4. 开展“权威诱惑”教育： 提醒员工，攻击者经常冒充 IT 支持、人力资源或政府机构，以制造虚假的紧迫感。

最终，修补漏洞就像堵住船壳上的洞，只有当你同时也敏锐地观察冰山时才有效。UAC-0255 这次可能失败了，但 AI 辅助网络钓鱼的进化意味着他们下一次戴上的面具可能会更加令人信服。

来源

• CERT-UA Official Incident Reports and Technical Briefings.
• Threat Intelligence Analysis on UAC-0255 and AGEWHEEZE Malware.
• Cybersecurity industry analysis of Go-based Remote Access Trojans.
• Public Telegram archives of the "Cyber Serp" group.