Seguir 
El phishing sigue siendo una de las herramientas más eficaces en el arsenal de los ciberdelincuentes, especialmente cuando los actores de amenazas abusan de la credibilidad de instituciones de confianza y de servicios digitales familiares para aumentar la interacción de las víctimas. A finales de marzo de 2026, CERT-UA reveló una campaña de phishing rastreada como UAC-0255 en la que los atacantes suplantaron a la agencia e intentaron infectar a organizaciones de los sectores público y privado de Ucrania con el RAT AGEWHEEZE.
Detectar ataques UAC-0255 cubiertos en CERT-UA#21075
Europol señala que el phishing sigue siendo el principal vector de distribución de malware de robo de datos, lo que refleja cómo la ingeniería social impulsada por correos electrónicos y URL sigue siendo central en la entrega de malware. El mismo patrón es visible en toda la actividad de phishing que CERT-UA ha estado documentando contra Ucrania a lo largo de 2026.
A principios de este año, CERT-UA informó de una campaña UAC-0190 dirigida contra las Fuerzas Armadas de Ucrania con la puerta trasera PLUGGYAPE, y más tarde divulgó actividad UAC-0252 en la que correos electrónicos que suplantaban a autoridades ejecutivas centrales y administraciones regionales atraían a las víctimas para ejecutar cargas útiles SHADOWSNIFF y SALATSTEALER. El ataque más reciente de UAC-0255, cubierto en la alerta CERT-UA#21075, encaja en la misma tendencia más amplia, y ahora los actores de amenazas abusan de la propia identidad de CERT-UA para hacer el señuelo más convincente y ampliar el objetivo a organizaciones tanto del sector público como del privado.
Regístrese en la plataforma SOC Prime para detectar de forma proactiva UAC-0255 y ataques similares en las etapas más tempranas posibles. Solo pulse Explorar detecciones a continuación y acceda a una pila de reglas de detección relevante, enriquecida con CTI nativa de IA, mapeada al marco MITRE ATT&CK® y compatible con múltiples tecnologías SIEM, EDR y Data Lake.
Los expertos en seguridad también pueden usar la etiqueta “CERT-UA#21075” basada en el identificador de alerta pertinente de CERT-UA para buscar directamente la pila de detección y rastrear cualquier cambio de contenido. Para más reglas destinadas a detectar ataques relacionados con adversarios, los ciberdefensores pueden buscar en la biblioteca de Threat Detection Marketplace usando la etiqueta «UAC-0255«.
Los profesionales de ciberseguridad también pueden apoyarse en Uncoder AI para analizar inteligencia de amenazas en tiempo real, generar Attack Flows, reglas Sigma, simulaciones y validaciones, diseñar detecciones en 56 idiomas y crear flujos de trabajo agentivos personalizados. Visite https://socprime.ai/ para obtener más información.
Análisis de ataques UAC-0255 que suplantan a CERT-UA para desplegar AGEWHEEZE
El 26 y 27 de marzo de 2026, CERT-UA identificó una campaña de phishing en la que los atacantes suplantaron a la agencia e instaron a los destinatarios a descargar archivos protegidos con contraseña desde el servicio Files.fm, incluidos “CERT_UA_protection_tool.zip” y “protection_tool.zip.” Los archivos contenían contenido malicioso presentado como software especializado para ser instalado por las organizaciones objetivo.
Los correos electrónicos maliciosos se distribuyeron ampliamente por toda Ucrania y tuvieron como objetivo a organizaciones gubernamentales, centros médicos, empresas de seguridad, instituciones educativas, organizaciones financieras, empresas de desarrollo de software y otras entidades, lo que pone de relieve el alcance de la campaña tanto en el sector público como en el privado.
CERT-UA#21075 La alerta también detalla el descubrimiento del sitio web fraudulento cert-ua[.]tech, que reutilizaba materiales del sitio web oficial cert.gov.ua e incluía instrucciones para descargar la herramienta de protección falsa. Esto ayudó a los atacantes a reforzar la legitimidad del señuelo y aumentar las probabilidades de interacción del usuario al abusar de la confianza en el Equipo de Respuesta ante Emergencias Informáticas de Ucrania.
Se determinó que el ejecutable ofrecido para su instalación era una cepa de malware de acceso remoto multifuncional rastreada por CERT-UA como AGEWHEEZE. AGEWHEEZE es un RAT basado en Go que admite un amplio conjunto de capacidades de administración remota. Además de funciones estándar como la ejecución de comandos y la gestión de archivos, el malware puede transmitir el contenido de la pantalla, emular la entrada del ratón y del teclado, interactuar con el portapapeles, gestionar procesos y servicios, y abrir URL en el host comprometido.
La infraestructura de comando y control del malware estaba alojada en la red del proveedor francés OVH (AS16276). En el puerto 8443/tcp, los investigadores observaron una página web titulada “The Cult” que contenía un formulario de autenticación, mientras que el código fuente HTML incluía cadenas en ruso que indicaban sobre el acceso bloqueado al servicio. CERT-UA también обнаружrió que el certificado SSL autofirmado asociado se había creado el 18 de marzo de 2026 y que el campo Organization contenía el valor “TVisor.”
Durante una revisión del sitio web cert-ua[.]tech generado por IA, CERT-UA encontró referencias incrustadas al canal de Telegram CyberSerp, incluida la frase “With Love, CYBER SERP.” El 28 de marzo de 2026, el mismo canal de Telegram se atribuyó públicamente la autoría del ataque, lo que ayudó a eliminar la incertidumbre sobre la atribución técnica. Con base en estos hallazgos, CERT-UA asignó a la actividad el identificador UAC-0255.
A pesar de la amplitud del objetivo, CERT-UA evaluó el ataque como no exitoso. Los investigadores identificaron solo varios dispositivos personales infectados pertenecientes a empleados de instituciones educativas, y el equipo de respuesta proporcionó la asistencia práctica y metodológica necesaria.
Contexto de MITRE ATT&CK
Aprovechar MITRE ATT&CK ofrece una visión en profundidad de la última campaña de phishing UAC-0255 que suplanta a CERT-UA. La tabla a continuación muestra todas las reglas Sigma relevantes mapeadas a las tácticas, técnicas y sub-técnicas de ATT&CK asociadas.
