RAT AGEWHEEZE

Par Mezo en Outils d'administration à distance, Menace persistante avancée (APT)

Se traduisent par :

Des analystes en cybersécurité ont mis au jour une opération d'hameçonnage ciblée au cours de laquelle des acteurs malveillants ont usurpé l'identité de l'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UK) afin de diffuser un outil d'administration à distance connu sous le nom d'AGEWHEEZE. La campagne, attribuée au groupe UAC-0255, s'appuyait sur des courriels trompeurs envoyés les 26 et 27 mars 2026, incitant les destinataires à installer ce qui était décrit comme un « logiciel spécialisé ».

Ces courriels contenaient des liens vers une archive ZIP protégée par mot de passe et hébergée sur Files.fm. Cette archive, nommée CERT_UA_protection_tool.zip, était présentée comme un utilitaire de sécurité légitime, mais contenait en réalité des programmes malveillants. Certains messages provenaient de l'adresse usurpée « incidents@cert-ua.tech », renforçant ainsi l'illusion d'authenticité.

Table des matières

Profil de la cible et portée de l’attaque

L'opération a visé un large éventail d'organisations essentielles aux infrastructures nationales et aux services publics. Parmi celles-ci :

Les institutions gouvernementales et étatiques
établissements médicaux et de soins de santé
Entreprises liées à la sécurité et à la défense
organisations éducatives
institutions financières
entreprises de développement de logiciels

Malgré une stratégie de ciblage étendue, l'efficacité globale de la campagne semble limitée. Seul un petit nombre d'infections ont été confirmées, touchant principalement les appareils personnels des employés des établissements d'enseignement.

À l’intérieur d’AGEWHEEZE : Capacités et mécanismes de persistance

AGEWHEEZE est un cheval de Troie d'accès à distance écrit en Go, conçu pour le contrôle et la surveillance de systèmes à grande échelle. Une fois déployé, il établit une communication avec un serveur de commande et de contrôle à l'adresse 54.36.237.92 via le protocole WebSocket.

Le logiciel malveillant permet aux attaquants de réaliser un large éventail d'activités malveillantes, notamment :

Exécution de commandes arbitraires et gestion des processus système
Effectuer des opérations sur les fichiers et manipuler les données stockées
Capture d'écran et surveillance de l'activité des utilisateurs
Émulation des entrées souris et clavier
Modification du contenu du presse-papiers
Assurer la persistance via des tâches planifiées, des modifications du Registre Windows ou le placement dans le répertoire de démarrage

Cette combinaison de fonctionnalités fait d'AGEWHEEZE un outil polyvalent pour l'espionnage, les déplacements latéraux et la compromission de systèmes à long terme.

Infrastructure trompeuse et fabrication assistée par l’IA

L'enquête menée sur le domaine frauduleux « cert-ua.tech » a révélé des indices de développement automatisé ou assisté par intelligence artificielle. Le code source HTML du site web contenait un commentaire notable en russe : « С Любовью, КИБЕР СЕРП » (« Avec amour, CYBER SERP »), suggérant une attribution à un groupe se faisant appeler Cyber Serp.

Le groupe Cyber Serp a revendiqué son affiliation à des milieux cybercriminels ukrainiens via sa chaîne Telegram, créée en novembre 2025 et comptant plus de 700 abonnés. Il a publiquement affirmé que sa campagne d'hameçonnage avait ciblé jusqu'à un million de comptes de messagerie et compromis plus de 200 000 appareils, des chiffres largement supérieurs aux estimations indépendantes.

Allégations contradictoires et activités menaçantes plus larges

Cyber Serp a tenté de se présenter comme un acteur sélectif, affirmant que ses opérations n'auraient aucun impact sur les citoyens ordinaires. Cependant, de telles déclarations sont incompatibles avec le caractère indiscriminé des campagnes d'hameçonnage à grande échelle.

Dans un incident distinct, le groupe a revendiqué la responsabilité du piratage de Cipher, affirmant avoir accédé aux données du serveur, aux bases de données client et au code source propriétaire. Cipher a par la suite confirmé une compromission limitée impliquant les identifiants d'un employé, mais a souligné que :

L'infrastructure essentielle est restée sécurisée et opérationnelle.
Le compte concerné n'avait accès qu'à un seul projet non sensible.

Cet écart met en lumière une tactique courante chez les acteurs malveillants : exagérer leur impact pour amplifier leur influence et leur crédibilité perçues.

Évaluation et implications en matière de sécurité

Cette campagne démontre l'efficacité persistante des techniques d'usurpation d'identité, notamment lorsqu'elles exploitent des organismes nationaux de cybersécurité réputés. Bien que son impact immédiat ait été limité, la sophistication technique d'AGEWHEEZE et l'ampleur de la tentative de diffusion témoignent d'une menace persistante et évolutive.

Il est conseillé aux organisations de renforcer leurs processus de vérification des courriels, d'examiner attentivement les pièces jointes non sollicitées et de sensibiliser leur personnel à la reconnaissance des tentatives d'usurpation d'identité impliquant des institutions faisant autorité.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

RAT AGEWHEEZE

Profil de la cible et portée de l’attaque

À l’intérieur d’AGEWHEEZE : Capacités et mécanismes de persistance

Infrastructure trompeuse et fabrication assistée par l’IA

Allégations contradictoires et activités menaçantes plus larges

Évaluation et implications en matière de sécurité

Soumettre un Commentaire

Tendance

Robloxcashout.com

Ransomware Uragan

Logiciel malveillant GlassWorm

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Eporner.com