### Usurpation et Distribution Des acteurs de la menace, identifiés comme **UAC-0255**, ont lancé une campagne de phishing les 26 et 27 mars 2026, en envoyant des e-mails imitant les communications officielles du **CERT-UA**. Ces e-mails contenaient une archive ZIP protégée par mot de passe, hébergée sur Files.fm, qui incitait les destinataires à installer ce qui était censé être un logiciel de sécurité spécialisé. Les cibles couvraient un large éventail de secteurs, notamment des organisations étatiques, des centres médicaux, des entreprises de sécurité, des établissements d'enseignement, des institutions financières et des sociétés de développement logiciel. Certains e-mails ont été envoyés depuis l'adresse "incidents@cert-ua[.]tech". ### Détails du RAT AGEWHEEZE Le fichier ZIP ("CERT_UA_protection_tool.zip") était conçu pour déployer un malware déguisé en outil de sécurité du **CERT-UA**. Le malware, identifié comme le RAT **AGEWHEEZE**, est un trojan basé sur Go qui communique avec un serveur externe ("54.36.237[.]92") via WebSockets. **AGEWHEEZE** prend en charge un ensemble complet de commandes, permettant aux attaquants d'exécuter des commandes, de manipuler des fichiers, de modifier le presse-papiers, d'émuler des actions de souris et de clavier, de capturer des captures d'écran et de gérer les processus et les services. Le malware établit également la persistance via des tâches planifiées, des modifications au Registre Windows, ou en s'ajoutant au répertoire Démarrage.  ### Succès Limité et Attribution Le **CERT-UA** estime que la campagne a eu un succès limité, avec seulement quelques appareils personnels infectés appartenant à des employés d'établissements d'enseignement identifiés. L'agence a fourni l'assistance nécessaire aux personnes affectées. L'analyse du site web frauduleux "cert-ua[.]tech" suggère l'utilisation d'outils d'IA dans sa création. Le code source HTML contenait un commentaire indiquant une attribution à "CYBER SERP". ### Déclarations de Cyber Serp **Cyber Serp**, s'identifiant comme des "opérateurs clandestins ukrainiens", a revendiqué la responsabilité de la campagne sur leur chaîne Telegram. Ils ont affirmé que les e-mails de phishing avaient été envoyés à 1 million de boîtes aux lettres ukr[.]net, entraînant la compromission de plus de 200 000 appareils. **Cyber Serp** a également revendiqué la responsabilité d'une violation présumée de la société ukrainienne de cybersécurité **Cipher** le mois dernier. **Cipher** a reconnu la compromission des identifiants d'un employé, mais a déclaré que son infrastructure restait sécurisée et que l'utilisateur infecté n'avait accès qu'à un seul projet sans données sensibles.