Suivre 
Le phishing reste l’un des outils les plus efficaces de l’arsenal des cybercriminels, en particulier lorsque des acteurs malveillants exploitent la crédibilité d’institutions de confiance et de services numériques familiers pour accroître l’engagement des victimes. Fin mars 2026, CERT-UA a révélé une campagne de phishing suivie sous le nom UAC-0255, dans laquelle des attaquants usurpaient l’identité de l’agence et tentaient d’infecter des organisations des secteurs public et privé en Ukraine avec le RAT AGEWHEEZE.
Détecter les attaques UAC-0255 couvertes dans CERT-UA#21075
Europol note que le phishing demeure le principal vecteur de distribution des malwares de vol de données, ce qui reflète à quel point l’ingénierie sociale basée sur les e-mails et les URL reste au cœur de la livraison de malwares. Le même schéma est visible dans l’activité de phishing que CERT-UA documente contre l’Ukraine tout au long de 2026.
Plus tôt cette année, CERT-UA a signalé une campagne UAC-0190 visant les Forces armées ukrainiennes avec la backdoor PLUGGYAPE, puis a divulgué une activité UAC-0252 au cours de laquelle des e-mails usurpant des autorités exécutives centrales et des administrations régionales incitaient les victimes à exécuter des charges utiles SHADOWSNIFF et SALATSTEALER. La dernière attaque UAC-0255 couverte dans l’alerte CERT-UA#21075 s’inscrit dans la même tendance générale, les acteurs menaçants abusant désormais de l’identité même de CERT-UA pour rendre l’appât plus convaincant et étendre le ciblage aux organisations des secteurs public et privé.
Inscrivez-vous à la plateforme SOC Prime pour détecter de manière proactive UAC-0255 et des attaques similaires le plus tôt possible. Il vous suffit de cliquer sur Explorer les détectionsci-dessous et d’accéder à un ensemble de règles de détection pertinentes, enrichi par une CTI native IA, mappée sur le framework MITRE ATT&CK®, et compatible avec de multiples technologies SIEM, EDR et Data Lake.
Les experts en sécurité peuvent également utiliser le tag « CERT-UA#21075 » basé sur l’identifiant d’alerte CERT-UA correspondant pour rechercher directement l’ensemble de détection et suivre toute modification du contenu. Pour davantage de règles permettant de détecter des attaques liées à des adversaires, les cyberdéfenseurs peuvent rechercher dans la bibliothèque du Threat Detection Marketplace en utilisant le tag « UAC-0255 ».
Les professionnels de la cybersécurité peuvent aussi s’appuyer sur Uncoder AI pour analyser le renseignement sur les menaces en temps réel, générer des Attack Flows, des règles Sigma, des simulations et des validations, concevoir des détections dans 56 langues et créer des workflows agentiques personnalisés. Consultez https://socprime.ai/ pour en savoir plus.
Analyse des attaques UAC-0255 usurpant CERT-UA pour déployer AGEWHEEZE
Les 26 et 27 mars 2026, CERT-UA a identifié une campagne de phishing dans laquelle des attaquants usurpaient l’identité de l’agence et incitaient les destinataires à télécharger des archives protégées par mot de passe depuis le service Files.fm, notamment « CERT_UA_protection_tool.zip » et « protection_tool.zip ». Les archives contenaient du contenu malveillant présenté comme un logiciel spécialisé à installer par les organisations ciblées.
Les e-mails malveillants ont été diffusés largement à travers l’Ukraine et visaient des organisations gouvernementales, des centres médicaux, des entreprises de sécurité, des établissements d’enseignement, des organisations financières, des sociétés de développement logiciel et d’autres entités, soulignant l’ampleur de la campagne sur les secteurs public et privé.
L’alerte CERT-UA#21075 détaille également la découverte du site frauduleux cert-ua[.]tech, qui réutilisait des éléments du site officiel cert.gov.ua et incluait des instructions pour télécharger le faux outil de protection. Cela a aidé les attaquants à renforcer la légitimité de l’appât et à augmenter les chances d’interaction utilisateur en abusant de la confiance accordée à l’équipe ukrainienne de réponse aux incidents (Computer Emergency Response Team).
L’exécutable proposé à l’installation s’est avéré être un malware d’accès à distance multifonctionnel suivi par CERT-UA sous le nom AGEWHEEZE. AGEWHEEZE est un RAT basé sur Go qui prend en charge un large éventail de capacités d’administration à distance. En plus de fonctions standard telles que l’exécution de commandes et la gestion de fichiers, le malware peut diffuser le contenu de l’écran, émuler les entrées souris et clavier, interagir avec le presse-papiers, gérer les processus et services, et ouvrir des URL sur l’hôte compromis.
L’infrastructure de commande et contrôle (C2) du malware était hébergée sur le réseau du fournisseur français OVH (AS16276). Sur le port 8443/tcp, les chercheurs ont observé une page web intitulée « The Cult » contenant un formulaire d’authentification, tandis que le code source HTML incluait des chaînes en langue russe mentionnant un accès bloqué au service. CERT-UA a également constaté que le certificat SSL auto-signé associé avait été créé le 18 mars 2026 et que le champ Organization contenait la valeur « TVisor ».
Lors de l’examen du site cert-ua[.]tech généré par IA, CERT-UA a trouvé des références intégrées au canal Telegram CyberSerp, notamment la phrase « With Love, CYBER SERP. ». Le 28 mars 2026, ce même canal Telegram a revendiqué publiquement la responsabilité de l’attaque, contribuant à lever l’incertitude quant à l’attribution technique. Sur la base de ces constatations, CERT-UA a attribué à l’activité l’identifiant UAC-0255.
Malgré l’ampleur du ciblage, CERT-UA a estimé que l’attaque avait échoué. Les enquêteurs n’ont identifié que quelques appareils personnels infectés appartenant à des employés d’établissements d’enseignement, et l’équipe d’intervention a fourni l’assistance pratique et méthodologique nécessaire.
Contexte MITRE ATT&CK
L’exploitation de MITRE ATT&CK fournit une compréhension approfondie de la dernière campagne de phishing UAC-0255 usurpant CERT-UA. Le tableau ci-dessous présente toutes les règles Sigma pertinentes mappées aux tactiques, techniques et sous-techniques ATT&CK associées.
