Segui 
Il phishing continua a essere uno degli strumenti più efficaci nell’arsenale dei cybercriminali, soprattutto quando i threat actor abusano della credibilità di istituzioni affidabili e di servizi digitali familiari per aumentare l’interazione delle vittime. A fine marzo 2026, CERT-UA ha rivelato una campagna di phishing tracciata come UAC-0255, in cui gli attaccanti hanno impersonato l’agenzia e hanno tentato di infettare organizzazioni nei settori pubblico e privato ucraini con l’AGEWHEEZE RAT.
Rilevare gli attacchi UAC-0255 trattati in CERT-UA#21075
Europol osserva che il phishing resta il principale vettore di distribuzione per i malware progettati per il furto di dati, a conferma di quanto il social engineering basato su email e URL rimanga centrale nella delivery del malware. Lo stesso schema è visibile nell’attività di phishing che CERT-UA sta documentando contro l’Ucraina per tutto il 2026.
All’inizio di quest’anno, CERT-UA ha segnalato una campagna UAC-0190 mirata alle Forze Armate ucraine con la backdoor PLUGGYAPE e, successivamente, ha divulgato l’attività UAC-0252 in cui email che impersonavano autorità esecutive centrali e amministrazioni regionali inducevano le vittime a eseguire i payload SHADOWSNIFF e SALATSTEALER. Il più recente attacco UAC-0255 descritto nell’alert CERT-UA#21075 rientra nello stesso trend più ampio: ora i threat actor abusano della stessa identità di CERT-UA per rendere l’esca più convincente ed estendere il targeting sia alle organizzazioni del settore pubblico sia a quelle del settore privato.
Registrati sulla piattaforma SOC Prime per rilevare in modo proattivo UAC-0255 e attacchi simili nelle primissime fasi possibili. Ti basta premere Esplora Rilevamentiqui sotto e accedere a uno stack di regole di detection pertinente, arricchito con CTI AI-native, mappato sul framework MITRE ATT&CK® e compatibile con molteplici tecnologie SIEM, EDR e Data Lake.
Gli esperti di sicurezza possono anche utilizzare il tag “CERT-UA#21075”, basato sull’identificatore dell’alert CERT-UA pertinente, per cercare direttamente lo stack di detection e tracciare eventuali modifiche ai contenuti. Per ulteriori regole volte a rilevare attacchi correlati agli avversari, i cyber defender possono effettuare ricerche nella libreria di Threat Detection Marketplace usando il tag “UAC-0255“.
I professionisti della cybersecurity possono inoltre fare affidamento su Uncoder AI per analizzare la threat intelligence in tempo reale, generare Attack Flows, regole Sigma, simulazioni e validazioni, progettare detection in 56 lingue e creare workflow agentici personalizzati. Visita https://socprime.ai/ per saperne di più.
Analisi degli attacchi UAC-0255 che impersonano CERT-UA per distribuire AGEWHEEZE
Il 26–27 marzo 2026, CERT-UA ha identificato una campagna di phishing in cui gli attaccanti impersonavano l’agenzia e sollecitavano i destinatari a scaricare archivi protetti da password dal servizio Files.fm, inclusi “CERT_UA_protection_tool.zip” e “protection_tool.zip”. Gli archivi contenevano contenuti malevoli presentati come software specializzato da installare presso le organizzazioni bersaglio.
Le email malevole sono state distribuite su larga scala in tutta l’Ucraina e hanno preso di mira organizzazioni governative, centri medici, società di sicurezza, istituti di istruzione, organizzazioni finanziarie, aziende di sviluppo software e altre entità, evidenziando l’ampia portata della campagna sia nel settore pubblico sia in quello privato.
L’alert CERT-UA#21075 descrive anche la scoperta del sito web fraudolento cert-ua[.]tech, che riutilizzava materiali del sito ufficiale cert.gov.ua e includeva istruzioni per scaricare il falso strumento di protezione. Ciò ha aiutato gli attaccanti a rafforzare la legittimità dell’esca e ad aumentare le probabilità di interazione degli utenti sfruttando la fiducia nel Computer Emergency Response Team ucraino.
L’eseguibile proposto per l’installazione è stato identificato come una variante malware di accesso remoto multifunzione tracciata da CERT-UA come AGEWHEEZE. AGEWHEEZE è un RAT basato su Go che supporta un ampio set di funzionalità di amministrazione remota. Oltre a funzioni standard come l’esecuzione di comandi e la gestione dei file, il malware può effettuare lo streaming del contenuto dello schermo, emulare input di mouse e tastiera, interagire con gli appunti, gestire processi e servizi e aprire URL sull’host compromesso.
L’infrastruttura di command-and-control del malware era ospitata sulla rete del provider francese OVH (AS16276). Sulla porta 8443/tcp, i ricercatori hanno osservato una pagina web intitolata “The Cult” contenente un form di autenticazione, mentre il sorgente HTML includeva stringhe in lingua russa che segnalavano l’accesso bloccato al servizio. CERT-UA ha inoltre rilevato che il certificato SSL self-signed associato era stato creato il 18 marzo 2026 e che il campo Organization conteneva il valore “TVisor”.
Durante una revisione del sito web cert-ua[.]tech generato dall’AI, CERT-UA ha trovato riferimenti incorporati al canale Telegram CyberSerp, inclusa la frase “With Love, CYBER SERP.”. Il 28 marzo 2026, lo stesso canale Telegram ha rivendicato pubblicamente la responsabilità dell’attacco, contribuendo a rimuovere ogni incertezza sull’attribuzione tecnica. Sulla base di questi riscontri, CERT-UA ha assegnato all’attività l’identificativo UAC-0255.
Nonostante l’ampiezza del targeting, CERT-UA ha valutato l’attacco come non riuscito. Gli investigatori hanno identificato solo alcuni dispositivi personali infettati appartenenti a dipendenti di istituti di istruzione e il team di risposta ha fornito la necessaria assistenza pratica e metodologica.
Contesto MITRE ATT&CK
Sfruttare MITRE ATT&CK offre insight approfonditi sulla più recente campagna di phishing UAC-0255 che impersona CERT-UA. La tabella seguente mostra tutte le regole Sigma pertinenti mappate alle tattiche, tecniche e sotto-tecniche ATT&CK associate.
