Campaña de 'phishing' suplanta al CERT-UA y distribuye malware AGEWHEEZE en 1 millón de correos

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha alertado sobre una nueva campaña de 'phishing' (engaño por correo electrónico) en la que los atacantes se hacen pasar por la propia agencia de ciberseguridad para distribuir un peligroso programa malicioso llamado AGEWHEEZE. Este 'malware' (programa dañino) permite controlar equipos de forma remota y ha afectado a un millón de cuentas de correo electrónico.

Cómo funciona el ataque

Los atacantes, identificados como UAC-0255, enviaron correos electrónicos los días 26 y 27 de marzo de 2026, haciéndose pasar por el CERT-UA. En estos correos, instaban a los destinatarios a instalar un "software especializado" que, en realidad, era el 'malware' AGEWHEEZE. El archivo venía comprimido en un archivo ZIP protegido con contraseña y alojado en Files.fm. Los correos fraudulentos provenían de la dirección "incidents@cert-ua[.]tech".

• El archivo ZIP ("CERT_UA_protection_tool.zip") descarga un programa malicioso disfrazado de software de seguridad del CERT-UA.
• AGEWHEEZE, el 'troyano' de acceso remoto (RAT), está programado en Go y se comunica con un servidor externo para recibir instrucciones.
• Este 'malware' puede ejecutar comandos, manipular archivos, modificar el portapapeles, simular acciones del ratón y teclado, tomar capturas de pantalla y controlar procesos y servicios del sistema.
• Para asegurar su permanencia en el sistema, crea tareas programadas, modifica el registro de Windows o se añade a la carpeta de inicio.

A quién afecta

Los objetivos de esta campaña de 'phishing' incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, entidades financieras y compañías de desarrollo de software. Según el CERT-UA, el ataque no tuvo mucho éxito, afectando solo a algunos dispositivos personales de empleados de instituciones educativas.

Un análisis del sitio web falso "cert-ua[.]tech" reveló que probablemente fue generado con herramientas de inteligencia artificial (IA). El código HTML incluye un comentario en ruso que se traduce como "Con amor, CYBER SERP", lo que sugiere la autoría del grupo Cyber Serp, que se describe como un colectivo de ciberdelincuentes ucranianos.

Cyber Serp afirma haber enviado los correos de 'phishing' a un millón de cuentas de correo electrónico de ukr[.]net y haber comprometido más de 200,000 dispositivos. También se atribuyeron la responsabilidad de un supuesto ataque a la empresa de ciberseguridad ucraniana Cipher.

Qué significa esto para ti

Esta campaña demuestra la importancia de verificar la autenticidad de los correos electrónicos, especialmente aquellos que solicitan la descarga e instalación de 'software'. Desconfía de archivos adjuntos y enlaces sospechosos, y asegúrate de que la dirección del remitente sea legítima. Mantén tu 'software' antivirus actualizado y utiliza contraseñas seguras para proteger tus cuentas.