### Nachahmung und Verbreitung Bedrohungsakteure, identifiziert als **UAC-0255**, starteten am 26. und 27. März 2026 eine Phishing-Kampagne, indem sie E-Mails versendeten, die offizielle **CERT-UA**-Kommunikation nachahmten. Diese E-Mails enthielten ein passwortgeschütztes ZIP-Archiv, das auf Files.fm gehostet wurde und die Empfänger aufforderte, eine angebliche spezialisierte Sicherheitssoftware zu installieren. Die Ziele umfassten eine breite Palette von Sektoren, darunter staatliche Organisationen, medizinische Zentren, Sicherheitsunternehmen, Bildungseinrichtungen, Finanzinstitute und Softwareentwicklungsunternehmen. Einige E-Mails wurden von der Adresse "incidents@cert-ua[.]tech" gesendet. ### Details zum AGEWHEEZE RAT Die ZIP-Datei ("CERT_UA_protection_tool.zip") war darauf ausgelegt, Malware zu verteilen, die als Sicherheitstool von **CERT-UA** getarnt war. Die Malware, identifiziert als der **AGEWHEEZE** RAT, ist ein Go-basierter Trojaner, der über WebSockets mit einem externen Server ("54.36.237[.]92") kommuniziert. **AGEWHEEZE** unterstützt eine umfassende Befehlssammlung, die es Angreifern ermöglicht, Befehle auszuführen, Dateien zu manipulieren, die Zwischenablage zu ändern, Maus- und Tastaturaktionen zu emulieren, Screenshots zu erstellen und Prozesse sowie Dienste zu verwalten. Die Malware etabliert auch Persistenz durch geplante Aufgaben, Änderungen an der Windows-Registrierung oder indem sie sich selbst zum Autostart-Ordner hinzufügt.  ### Begrenzter Erfolg und Zuschreibung **CERT-UA** schätzt, dass die Kampagne nur begrenzten Erfolg hatte und nur wenige infizierte persönliche Geräte von Mitarbeitern von Bildungseinrichtungen identifiziert wurden. Die Behörde leistete den betroffenen Personen die notwendige Unterstützung. Die Analyse der betrügerischen Website "cert-ua[.]tech" deutet auf die Verwendung von KI-Tools bei ihrer Erstellung hin. Der HTML-Quellcode enthielt einen Kommentar, der die Zuschreibung an "CYBER SERP" angibt. ### Cyber Serp beansprucht Verantwortung **Cyber Serp**, die sich als "Cyber-Underground-Operatoren aus der Ukraine" identifizieren, beanspruchte auf ihrem Telegram-Kanal die Verantwortung für die Kampagne. Sie behaupteten, dass die Phishing-E-Mails an 1 Million ukr[.]net-Mailboxen gesendet wurden, was zu über 200.000 kompromittierten Geräten führte. **Cyber Serp** beanspruchte auch die Verantwortung für einen angeblichen Einbruch in das ukrainische Cybersicherheitsunternehmen **Cipher** im letzten Monat. **Cipher** bestätigte die Kompromittierung von Anmeldedaten eines Mitarbeiters, erklärte jedoch, dass seine Infrastruktur sicher geblieben sei und der infizierte Benutzer nur Zugriff auf ein einzelnes Projekt ohne sensible Daten hatte.