Suplantan al CERT-UA en masiva campaña de phishing con malware AGEWHEEZE

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) fue suplantado en una campaña masiva de phishing (engaño por correo electrónico) que buscaba distribuir un programa malicioso llamado AGEWHEEZE. Los atacantes se hicieron pasar por la agencia para engañar a las víctimas e instalar el malware en sus dispositivos.

Cómo funciona el ataque

Los atacantes, identificados como UAC-0255, enviaron correos electrónicos fraudulentos los días 26 y 27 de marzo de 2026, simulando ser el CERT-UA. Estos correos instaban a los destinatarios a descargar e instalar un "software especializado" contenido en un archivo ZIP protegido con contraseña alojado en Files.fm. El archivo ZIP, llamado "CERT_UA_protection_tool.zip", contenía en realidad el malware AGEWHEEZE, un troyano de acceso remoto (RAT). Un troyano de acceso remoto es un tipo de malware que permite a los atacantes controlar un ordenador de forma remota.

• AGEWHEEZE, escrito en el lenguaje de programación Go, se comunica con un servidor externo a través de WebSockets.
• Este malware puede ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el movimiento del ratón y el teclado, tomar capturas de pantalla y administrar procesos y servicios.
• Para asegurar su permanencia en el sistema, AGEWHEEZE crea una tarea programada, modifica el registro de Windows o se añade a la carpeta de inicio.

Según el CERT-UA, el sitio web falso "cert-ua[.]tech" fue probablemente generado con la ayuda de herramientas de inteligencia artificial (IA), con un comentario en el código HTML que decía "Con Amor, CYBER SERP". Cyber Serp es un grupo que se atribuye la responsabilidad del ataque en su canal de Telegram, donde afirman ser "operativos cibernéticos clandestinos de Ucrania".

A quién afecta

La campaña de phishing se dirigió a diversas organizaciones, incluyendo:

• Organizaciones estatales
• Centros médicos
• Compañías de seguridad
• Instituciones educativas
• Instituciones financieras
• Empresas de desarrollo de software

Cyber Serp afirma haber enviado los correos electrónicos de phishing a un millón de buzones de correo ukr[.]net y que más de 200.000 dispositivos han sido comprometidos. Sin embargo, el CERT-UA indica que el ataque no tuvo mucho éxito, identificando solo unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas.

Qué significa esto para ti

Esta campaña demuestra la importancia de ser escéptico ante correos electrónicos inesperados, especialmente aquellos que solicitan la descarga e instalación de software. Verifica siempre la autenticidad del remitente y, en caso de duda, contacta directamente con la organización a través de un canal oficial. Desconfía de los archivos adjuntos y enlaces sospechosos, y mantén tu software de seguridad actualizado.