Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Herramientas de administración remota Rata AGEWHEEZE

Rata AGEWHEEZE

Por Mezo en Herramientas de administración remota, Amenaza persistente avanzada (APT)
Traducir a:

Analistas de ciberseguridad han descubierto una operación de phishing dirigida en la que ciberdelincuentes se hicieron pasar por el Equipo de Respuesta a Emergencias Informáticas de Ucrania para distribuir una herramienta de administración remota conocida como AGEWHEEZE. La campaña, atribuida al grupo UAC-0255, se basó en correos electrónicos engañosos enviados el 26 y 27 de marzo de 2026, instando a los destinatarios a instalar lo que se describía como "software especializado".

Estos correos electrónicos contenían enlaces a un archivo ZIP protegido con contraseña, alojado en Files.fm. El archivo, llamado CERT_UA_protection_tool.zip, se presentaba como una utilidad de seguridad legítima, pero en realidad contenía software malicioso. Algunos mensajes provenían de la dirección falsificada 'incidents@cert-ua.tech', lo que reforzaba aún más la ilusión de autenticidad.

Perfil del objetivo y alcance del ataque

La operación tuvo un amplio alcance, apuntando a una diversa gama de organizaciones críticas para la infraestructura nacional y los servicios públicos. Estas incluían:

  • Instituciones gubernamentales y estatales
  • instalaciones médicas y sanitarias
  • Empresas relacionadas con la seguridad y la defensa
  • Organizaciones educativas
  • Instituciones financieras
  • empresas de desarrollo de software

A pesar de la amplia estrategia de focalización, la efectividad general de la campaña parece limitada. Solo se confirmó un pequeño número de infecciones, que afectaron principalmente a los dispositivos personales de los empleados de las instituciones educativas.

Dentro de AGEWHEEZE: Capacidades y mecanismos de persistencia

AGEWHEEZE es un troyano de acceso remoto basado en Go, diseñado para el control y la vigilancia exhaustivos de sistemas. Una vez desplegado, establece comunicación con un servidor de comando y control en la dirección IP 54.36.237.92 mediante protocolos WebSocket.

El malware permite a los atacantes realizar un amplio espectro de actividades maliciosas, entre las que se incluyen:

  • Ejecutar comandos arbitrarios y administrar procesos del sistema.
  • Realizar operaciones con archivos y manipular datos almacenados.
  • Capturar capturas de pantalla y monitorizar la actividad del usuario.
  • Emulando las entradas del ratón y del teclado.
  • Modificar el contenido del portapapeles
  • Mantener la persistencia mediante tareas programadas, modificaciones del Registro de Windows o la ubicación en el directorio de inicio.

Esta combinación de características convierte a AGEWHEEZE en una herramienta versátil para el espionaje, el movimiento lateral y la infiltración a largo plazo en sistemas.

Infraestructura engañosa y fabricación asistida por IA

La investigación del dominio fraudulento 'cert-ua.tech' reveló indicios de desarrollo automatizado o asistido por IA. El código fuente HTML del sitio web contenía un comentario notable en ruso: 'С Любовью, КИБЕР СЕРП' ('Con amor, CYBER SERP'), lo que sugiere que se trata de un grupo que se hace llamar Cyber Serp.

Cyber Serp ha afirmado estar afiliado a círculos cibernéticos clandestinos ucranianos a través de su canal de Telegram, creado en noviembre de 2025 y que cuenta con más de 700 suscriptores. El grupo afirmó públicamente que la campaña de phishing afectó hasta a un millón de cuentas de correo electrónico y provocó la infección de más de 200.000 dispositivos, cifras que superan con creces las evaluaciones independientes.

Afirmaciones contradictorias y una actividad que representa una amenaza más amplia.

Cyber Serp ha intentado presentarse como un actor selectivo, afirmando que sus operaciones no afectarían a los ciudadanos comunes. Sin embargo, tales afirmaciones son incompatibles con la naturaleza indiscriminada de las campañas de phishing a gran escala.

En un incidente aparte, el grupo se atribuyó la responsabilidad de la brecha de seguridad de Cipher, alegando acceso a datos del servidor, bases de datos de clientes y código fuente propietario. Posteriormente, Cipher confirmó una vulneración limitada que involucró las credenciales de un empleado, pero enfatizó que:

  • La infraestructura principal se mantuvo segura y operativa.
  • La cuenta afectada tenía acceso únicamente a un único proyecto no confidencial.

Esta discrepancia pone de manifiesto una táctica común entre los actores que generan amenazas: exagerar el impacto para amplificar la influencia y la credibilidad percibidas.

Evaluación e implicaciones de seguridad

La campaña demuestra la continua eficacia de las tácticas de suplantación de identidad, especialmente cuando se aprovechan de entidades nacionales de ciberseguridad de confianza. Si bien el impacto inmediato se contuvo, la sofisticación técnica de AGEWHEEZE y la magnitud de los intentos de distribución señalan un panorama de amenazas persistente y en constante evolución.

Se recomienda a las organizaciones que refuercen los procesos de verificación de correo electrónico, examinen detenidamente los archivos adjuntos no solicitados y capaciten al personal para que reconozca los intentos de suplantación de identidad que involucren a instituciones autorizadas.

Tendencias

Mas Visto

Cargando...