### Falsificação e Distribuição Atores de ameaças, identificados como **UAC-0255**, lançaram uma campanha de phishing em 26 e 27 de março de 2026, enviando e-mails que imitavam comunicações oficiais do **CERT-UA**. Esses e-mails continham um arquivo ZIP protegido por senha, hospedado no Files.fm, que instava os destinatários a instalarem o que era supostamente um software de segurança especializado. Os alvos abrangeram uma ampla gama de setores, incluindo organizações estatais, centros médicos, empresas de segurança, instituições educacionais, instituições financeiras e empresas de desenvolvimento de software. Alguns e-mails foram enviados do endereço "incidents@cert-ua[.]tech". ### Detalhes do RAT AGEWHEEZE O arquivo ZIP ("CERT_UA_protection_tool.zip") foi projetado para implantar malware disfarçado de ferramenta de segurança do **CERT-UA**. O malware, identificado como o RAT **AGEWHEEZE**, é um trojan baseado em Go que se comunica com um servidor externo ("54.36.237[.]92") via WebSockets. O **AGEWHEEZE** suporta um conjunto abrangente de comandos, permitindo que os atacantes executem comandos, manipulem arquivos, modifiquem a área de transferência, emulem ações de mouse e teclado, capturem screenshots e gerenciem processos e serviços. O malware também estabelece persistência através de tarefas agendadas, modificações no Registro do Windows ou adicionando-se ao diretório de Inicialização.  ### Sucesso Limitado e Atribuição O **CERT-UA** avalia que a campanha teve sucesso limitado, com apenas alguns dispositivos pessoais infectados pertencentes a funcionários de instituições educacionais identificados. A agência forneceu a assistência necessária aos indivíduos afetados. A análise do site fraudulento "cert-ua[.]tech" sugere o uso de ferramentas de IA em sua criação. O código-fonte HTML continha um comentário indicando a atribuição a "CYBER SERP". ### Cyber Serp Reivindica O **Cyber Serp**, identificando-se como "operativos do submundo cibernético da Ucrânia", reivindicou a responsabilidade pela campanha em seu canal do Telegram. Eles alegaram que os e-mails de phishing foram enviados para 1 milhão de caixas de correio ukr[.]net, resultando em mais de 200.000 dispositivos comprometidos. O **Cyber Serp** também reivindicou a responsabilidade por uma suposta violação da empresa ucraniana de cibersegurança **Cipher** no mês passado. A **Cipher** reconheceu o comprometimento das credenciais de um funcionário, mas afirmou que sua infraestrutura permaneceu segura e que o usuário infectado tinha acesso apenas a um único projeto sem dados sensíveis.