### Suplantación y Distribución Actores de amenazas, identificados como **UAC-0255**, lanzaron una campaña de phishing los días 26 y 27 de marzo de 2026, enviando correos electrónicos que imitaban comunicaciones oficiales de **CERT-UA**. Estos correos contenían un archivo ZIP protegido con contraseña, alojado en Files.fm, que instaba a los destinatarios a instalar lo que supuestamente era un software de seguridad especializado. Los objetivos abarcaban una amplia gama de sectores, incluidas organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos correos electrónicos se enviaron desde la dirección "incidents@cert-ua[.]tech". ### Detalles del RAT AGEWHEEZE El archivo ZIP ("CERT_UA_protection_tool.zip") fue diseñado para desplegar malware disfrazado de herramienta de seguridad de **CERT-UA**. El malware, identificado como el RAT **AGEWHEEZE**, es un troyano basado en Go que se comunica con un servidor externo ("54.36.237[.]92") a través de WebSockets. **AGEWHEEZE** admite un conjunto completo de comandos, lo que permite a los atacantes ejecutar comandos, manipular archivos, modificar el portapapeles, emular acciones del mouse y el teclado, capturar capturas de pantalla y administrar procesos y servicios. El malware también establece persistencia a través de tareas programadas, modificaciones en el Registro de Windows o agregándose al directorio de Inicio.  ### Éxito Limitado y Atribución **CERT-UA** estima que la campaña tuvo un éxito limitado, identificándose solo unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas. La agencia brindó la asistencia necesaria a las personas afectadas. El análisis del sitio web fraudulento "cert-ua[.]tech" sugiere el uso de herramientas de IA en su creación. El código fuente HTML contenía un comentario que indicaba la atribución a "CYBER SERP". ### Cyber Serp Reclama Responsabilidad **Cyber Serp**, identificándose como "operativos del ciberinframundo de Ucrania", reclamó la responsabilidad de la campaña en su canal de Telegram. Alegaron que los correos electrónicos de phishing se enviaron a 1 millón de buzones de ukr[.]net, lo que resultó en más de 200.000 dispositivos comprometidos. **Cyber Serp** también reclamó la responsabilidad de una supuesta intrusión en la empresa ucraniana de ciberseguridad **Cipher** el mes pasado. **Cipher** reconoció el compromiso de las credenciales de un empleado, pero afirmó que su infraestructura permaneció segura y que el usuario infectado solo tenía acceso a un único proyecto sin datos sensibles.