Die Phishing-Mails richteten sich gezielt an Organisationen aus mehreren Branchen: Behörden, medizinische Einrichtungen, Finanzunternehmen, Sicherheitsfirmen, Universitäten und Softwareentwickler. Die Nachrichten täuschten vor, von CERT-UA selbst zu stammen, und warnten vor einem bevorstehenden russischen Großangriff auf kritische Infrastruktur.

Um die Empfänger zum Handeln zu bewegen, forderten die Angreifer sie auf, ein passwortgeschütztes Archiv vom Dienst Files.fm herunterzuladen und eine angeblich spezialisierte Schutzsoftware zu installieren. Wer dies unterlasse, müsse mit „schwerwiegenden Folgen" rechnen.

In der Datei steckte stattdessen das Fernzugriffs-Tool AgeWheeze. Nach Angaben von CERT-UA verfügt die Schadsoftware über ein breites Funktionsspektrum: Sie kann Befehle ausführen, Dateien und Prozesse verwalten, Bildschirminhalte übertragen, Maus- und Tastatureingaben emulieren und auf die Zwischenablage zugreifen.

Die Kampagne blieb laut CERT-UA weitgehend wirkungslos und führte nur zu einer geringen Zahl von Infektionen, überwiegend auf privaten Geräten von Beschäftigten an Bildungseinrichtungen.

CERT-UA bringt die Operation mit der Gruppe CyberSerp in Verbindung, die sich auf ihrem Telegram-Kanal später zu dem Angriff bekannte. In den Code einer gefälschten Website, die in der Kampagne genutzt wurde, fanden die Forscher die eingebettete Phrase „From Cyber Serp with Love". Auf Telegram behauptete die Gruppe, sie habe schädliche E-Mails an rund eine Million Nutzer des verbreiteten ukrainischen Maildienstes Ukr.net verschickt und mehr als 200.000 Geräte kompromittiert. CERT-UA bestätigte diese Zahlen nicht. Zudem lobte die Gruppe die Ermittlungen von CERT-UA und bedankte sich für die vermeintliche „Werbung" für ihren Telegram-Kanal.

CyberSerp ist ein vergleichsweise neuer Akteur mit Fokus auf die Ukraine. Der Telegram-Kanal wurde im November 2025 angelegt; dort beschreibt sich die Gruppe als „cyber-partisanische Bewegung" und gibt vor, ukrainischen Ursprungs zu sein. Bereits zuvor versuchte sie, in der Ukraine Mitwirkende anzuwerben, und stellte Bezahlung für „wertvolle Informationen" in Aussicht.

CyberSerp reklamierte außerdem einen separaten mutmaßlichen Einbruch beim ukrainischen Cybersicherheitsunternehmen Cipher für sich. Die Gruppe behauptete, einen vollständigen Abzug der Server erbeutet zu haben, darunter interne Korrespondenz und eine Kundendatenbank, die angeblich auch staatliche Stellen umfasste. Cipher räumte ein, dass Angreifer die Zugangsdaten eines Mitarbeiters bei einem seiner Auftragnehmer kompromittiert hätten, wies aber einen Einbruch in die Kerninfrastruktur zurück. Das betroffene Konto habe nur Zugriff auf ein einzelnes Projekt gehabt, das weder sensible Sicherheitsinformationen noch personenbezogene Daten enthalten habe.