Suivre 
Depuis janvier 2026, le CERT-UA suit une série d’intrusions attribuées à UAC-0252 et construites autour des infostealers SHADOWSNIFF et SALATSTEALER. Les campagnes reposent sur des appâts de phishing élaborés, la mise en scène de charges utiles sur une infrastructure légitime, et l’exécution par l’utilisateur de fichiers EXE déguisés.
Détecter les attaques UAC-0252 couvertes dans CERT-UA#20032
Selon la Phishing Trends T2 2025 recherche de Check Point, le phishing reste un outil central pour les cybercriminels, et l’usurpation de marques de confiance à forte utilisation continue d’augmenter. Dans le contexte d’opérations plus coordonnées et sophistiquées visant les infrastructures critiques et les organisations gouvernementales, la CISA a publié son Plan stratégique international 2025–2026 pour faire avancer la réduction globale des risques et améliorer la résilience collective.
Inscrivez-vous à la plateforme SOC Prime pour défendre de manière proactive votre organisation contre les attaques UAC-0252. Appuyez simplement sur Explorer les détections ci-dessous et accédez à une pile de règles de détection pertinente, enrichie avec des fonctionnalités natives IA CTI, mappées au cadre MITRE ATT&CK®, et compatibles avec une large gamme de technologies SIEM, EDR et Data Lake.
Les experts en sécurité peuvent également utiliser le tag “CERT-UA#20032” basé sur l’identifiant d’alerte CERT-UA pertinent pour rechercher la pile de détection directement et suivre tout changement de contenu. Pour plus de règles pour détecter les attaques liées aux adversaires, les cyber défenseurs peuvent rechercher dans la bibliothèque de Threat Detection Marketplace en utilisant le tag « UAC-0252« .
Les utilisateurs de SOC Prime peuvent également compter sur Uncoder AI pour créer des détections à partir de rapports de menaces bruts, documenter et optimiser le code des règles, et générer des Attack Flows en quelques clics. En exploitant les informations sur les menaces de la dernière alerte CERT-UA, les équipes peuvent facilement convertir les IOC en requêtes optimisées pour la performance prêtes à la chasse dans l’environnement SIEM ou EDR choisi.
Analyser les attaques UAC-0252 à l’aide de SHADOWSNIFF et SALATSTEALER
Depuis janvier 2026, le CERT-UA suit des campagnes de phishing répétées visant des entités en Ukraine. Les messages électroniques sont conçus pour usurper les corps et administrations gouvernementales centrales ou régionales et incitent généralement les destinataires à mettre à jour les applications mobiles utilisées dans les systèmes civils et militaires largement déployés.
L’alerte CERT-UA#20032 décrit deux chemins de livraison courants. Dans le premier, l’email inclut une archive jointe contenant un fichier EXE. L’attaquant s’appuie sur le destinataire pour ouvrir l’archive et exécuter l’exécutable. Dans le second, l’email contient un lien vers un site web légitime vulnérable à une attaque par script intersites (XSS). Lorsque la victime visite la page, le JavaScript injecté s’exécute dans le navigateur et télécharge un fichier exécutable sur l’ordinateur. Dans les deux scénarios, le CERT-UA note que les fichiers EXE et scripts sont hébergés sur le service légitime GitHub, ce qui aide l’activité à se fondre dans le trafic web normal et rend le blocage de domaine basique moins efficace dans de nombreux environnements.
En janvier et février 2026, le CERT-UA a confirmé que l’activité utilisait plusieurs outils malveillants, y compris SHADOWSNIFF, SALATSTEALER et DEAFTICK.
SHADOWSNIFF a été signalé comme hébergé sur GitHub, tandis que SALATSTEALER est souvent décrit comme un infostealer basé sur Go qui cible les identifiants de navigateur, vole les sessions actives et collecte des données liées aux cryptomonnaies, opérant sous un modèle Malware-as-a-Service (MaaS). Dans le même ensemble d’outils, le CERT-UA a également signalé DEAFTICK, une porte dérobée primitive écrite en Go qui aide probablement les attaquants à maintenir un accès de base sur les hôtes compromis et à soutenir des actions ultérieures.
Lors de l’analyse du dépôt, le CERT-UA rapporte avoir découvert un programme avec les caractéristiques d’un encryptor de ransomware, nommé en interne « AVANGARD ULTIMATE v6.0 ». Le même écosystème GitHub contenait également une archive avec un exploit pour WinRAR (CVE-2025-8088), un problème de traversée de chemin dans Windows WinRAR qui peut permettre l’exécution de code arbitraire via des archives forgées et a été signalé comme étant exploité à l’état sauvage. Cela suggère que les opérateurs ne se contentaient pas de voler des identifiants, mais expérimentaient également des outils supplémentaires pouvant accroître l’impact.
Basé sur les détails de l’enquête et les chevauchements d’outils, y compris des expériences avec des instruments disponibles publiquement, le CERT-UA relie l’activité décrite à des individus discutés dans le canal Telegram « PalachPro », tout en continuant à suivre la campagne sous UAC-0252.
Contexte MITRE ATT&CK
Explorer MITRE ATT&CK offre une compréhension approfondie des dernières campagnes de phishing UAC-0252 ciblant des entités ukrainiennes. Le tableau ci-dessous affiche toutes les règles Sigma pertinentes mappées aux tactiques, techniques et sous-techniques ATT&CK associées. Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
