Segui 
Da gennaio 2026, CERT-UA ha monitorato una serie di intrusioni attribuite a UAC-0252 e basate sugli infostealer SHADOWSNIFF e SALATSTEALER. Le campagne si basano su esche di phishing , caricamento dei payload su infrastrutture legittime e esecuzione guidata dall’utente di file EXE camuffati.
Rileva attacchi UAC-0252 trattati in CERT-UA#20032
Secondo il Phishing Trends Q2 2025 ricerca di Check Point, il phishing rimane uno strumento principale per i cybercriminali, e l’impersonificazione di marchi ampiamente fidati e ad alto utilizzo continua a crescere. Sullo sfondo di operazioni più coordinate e sofisticate mirate a infrastrutture critiche e organizzazioni governative, CISA ha pubblicato il suo Piano Strategico Internazionale 2025–2026 per avanzare nella riduzione globale del rischio e migliorare la resilienza collettiva.
Iscriviti alla piattaforma SOC Prime per difendere proattivamente la tua organizzazione dagli attacchi UAC-0252. Basta premere Esplora Rilevazioni sotto e accedere a uno stack di regole di rilevazione pertinenti, arricchite con AI-native CTI, mappate al framework MITRE ATT&CK®, e compatibili con una vasta gamma di tecnologie SIEM, EDR e Data Lake.
Gli esperti di sicurezza possono anche utilizzare il tag “CERT-UA#20032” basato sull’identificatore di allerta CERT-UA pertinente per cercare direttamente lo stack di rilevamento e tracciare qualsiasi cambiamento di contenuto. Per ulteriori regole per rilevare attacchi correlati agli avversari, i difensori informatici possono cercare nella libreria del Market di Rilevamento delle Minacce usando il tag “UAC-0252“.
Gli utenti SOC Prime possono anche fare affidamento su Uncoder AI per creare rilevazioni da rapporti di minacce grezze, documentare e ottimizzare il codice delle regole e generare Flussi di Attacco con pochi clic. Sfruttando l’intelligenza sulle minacce dall’ultima allerta CERT-UA, i team possono convertire facilmente gli IOC in query ottimizzate per le prestazioni pronte per la caccia nell’ambiente SIEM o EDR scelto.
Analisi degli Attacchi UAC-0252 Usando SHADOWSNIFF e SALATSTEALER
Da gennaio 2026, CERT-UA ha monitorato ripetute campagne di phishing che prendono di mira le entità in Ucraina. I messaggi email sono progettati per impersonare corpi governativi centrali o amministrazioni regionali e in genere invitano i destinatari ad aggiornare le app mobili utilizzate in sistemi civili e militari ampiamente distribuiti.
L’allerta CERT-UA#20032 descrive due percorsi di consegna comuni. Nel primo, l’email include un archivio allegato che contiene un file EXE. L’aggressore si basa sul destinatario per aprire l’archivio ed eseguire l’eseguibile. Nel secondo, l’email contiene un link a un sito web legittimo vulnerabile a cross-site scripting (XSS). Quando la vittima visita la pagina, il JavaScript iniettato viene eseguito nel browser e scarica un file eseguibile sul computer. In entrambi gli scenari, CERT-UA nota che i file EXE e gli script sono ospitati sul servizio legittimo GitHub, il che aiuta l’attività a integrarsi nel normale traffico web e rende il blocco a livello di dominio basico meno efficace in molti ambienti.
Durante gennaio e febbraio 2026, CERT-UA ha confermato che l’attività utilizzava diversi strumenti malevoli, tra cui SHADOWSNIFF, SALATSTEALER e DEAFTICK.
SHADOWSNIFF è stato segnalato come ospitato su GitHub, mentre SALATSTEALER è comunemente descritto come un infostealer basato su Go che prende di mira le credenziali del browser, ruba sessioni attive e raccoglie dati relativi alle criptovalute, operando sotto un modello Malware-as-a-Service (MaaS). Nello stesso set di strumenti, CERT-UA ha anche segnalato DEAFTICK, una backdoor primitiva scritta in Go che probabilmente aiuta gli aggressori a mantenere un accesso di base sugli host compromessi e supportare azioni successive.
Durante l’analisi del repository, CERT-UA segnala la scoperta di un programma con caratteristiche di un cifrante ransomware, internamente chiamato «AVANGARD ULTIMATE v6.0». Lo stesso ecosistema GitHub conteneva anche un archivio con un exploit per WinRAR (CVE-2025-8088), un problema di traversal path in Windows WinRAR che può consentire l’esecuzione arbitraria di codice tramite archivi artigianali ed è stato segnalato come sfruttato in natura. Questo suggerisce che gli operatori non solo rubavano credenziali, ma sperimentavano anche con tooling aggiuntivi che potrebbero espandere l’impatto.
Basandosi sui dettagli dell’indagine e sulle sovrapposizioni degli strumenti, comprese le esperienze con strumenti disponibili pubblicamente, CERT-UA collega l’attività descritta a individui discussi nel canale Telegram «PalachPro», continuando a monitorare la campagna sotto UAC-0252.
Contesto MITRE ATT&CK
Sfruttare MITRE ATT&CK offre un approfondimento sulle ultime campagne di phishing UAC-0252 che prendono di mira gli enti ucraini. La tabella sotto mostra tutte le regole Sigma pertinenti mappate alle tattiche, tecniche e sotto-tecniche ATT&CK associate. Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
