PhishingMalwareHackerangriffe

Ukrainische Behörde impersoniert: AGEWHEEZE-Malware in Millionen-Phishing-Kampagne

Ukrainische Behörde impersoniert: AGEWHEEZE-Malware in Millionen-Phishing-Kampagne
Zusammenfassung

Die ukrainische Behörde CERT-UA ist Opfer einer gezielten Impersonationskampagne geworden, bei der Cyberkriminelle der Gruppe UAC-0255 unter dem Namen der Agentur selbst Phishing-Emails an etwa eine Million Adresse versendet haben. Die Attacke, die Ende März 2026 stattfand, verteilte die Malware AGEWHEEZE, einen ferngesteuerten Zugriffstrojaner, verpackt als Sicherheitssoftware in kennwortgeschützten ZIP-Dateien. Die Angreifer zielten auf staatliche Organisationen, Medizinzentren, Sicherheitsfirmen, Bildungseinrichtungen, Finanzinstitute und Softwareunternehmen ab. Die Malware kommuniziert über WebSockets mit externen Servern und ermöglicht Angreifern umfangreiche Kontrollfunktionen wie Befehlsausführung, Dateiverwaltung und Bildschirmaufnahmen. Obwohl die Kampagne nach Angaben von CERT-UA weitgehend erfolglos war, zeigt dieser Vorfall ein gefährliches Trend-Muster: Cyberkriminelle nutzen KI-generierte Infrastrukturen für hochrealistische Phishing-Angriffe. Deutsche Unternehmen und Behörden sollten diese Entwicklung ernst nehmen, da ähnliche Techniken leicht auf deutschsprachige Ziele übertragen werden könnten. Die Taktik, vertrauenswürdige Institutionen zu imitieren, ist besonders wirksam und erfordert erhöhte Wachsamkeit bei der Authentifizierung von Behördenkommunikation.

Die Angriffskampagne wurde von der Gruppe UAC-0255 durchgeführt, die unter dem Namen “Cyber Serp” tätig ist. Die Hacker versendeten E-Mails mit dem Betreff, dass eine “spezialisierte Sicherheitssoftware” installiert werden sollte. Die Nachrichten stammten teilweise von der gefälschten Adresse “incidents@cert-ua[.]tech” und leiteten Empfänger auf eine bösartige Website weiter.

Die Malware AGEWHEEZE wurde als passwortgeschütztes ZIP-Archiv mit dem Namen “CERT_UA_protection_tool.zip” verpackt und über den File-Hosting-Dienst Files.fm gehostet. Das Go-basierte Schadprogramm agiert als vollwertiger Remote-Access-Trojaner und kommuniziert über WebSockets mit dem Server “54.36.237[.]92”. Einmal installiert, erlaubt AGEWHEEZE Angreifern, beliebige Befehle auszuführen, Dateien zu manipulieren, die Zwischenablage zu modifizieren, Maus und Tastatur zu emulieren, Screenshots zu erstellen sowie Prozesse und Dienste zu verwalten. Das Trojaner-Modul etabliert zudem Persistenz durch manipulierte Windows-Registry-Einträge, geplante Aufgaben oder die Integration in das Startup-Verzeichnis.

Besonders interessant ist die technische Komponente: Die betrügerische Website “cert-ua[.]tech” wurde offenbar mit Unterstützung von KI-Tools generiert. Sicherheitsforscher fanden im HTML-Quellcode einen aufschlussreichen Kommentar: “С Любовью, КИБЕР СЕРП” (“Mit Liebe, CYBER SERP”).

Die Gruppe Cyber Serp selbst prahlte in Telegram-Posts damit, dass über 200.000 Geräte kompromittiert worden seien. Die Threat-Actor-Gruppe präsentiert sich als “Cyber-Underground-Operatives aus der Ukraine” und betont, dass durchschnittliche Bürger keine Schäden erleiden würden. Ihr Telegram-Kanal existiert seit November 2025 und hat über 700 Abonnenten.

Nach Aussage von CERT-UA war die Kampagne jedoch insgesamt wenig erfolgreich: Nur wenige infizierte private Geräte von Mitarbeitern verschiedener Bildungseinrichtungen wurden identifiziert. Die ukrainische Behörde leistete betroffenen Organisationen methodische und praktische Unterstützung.

Dies ist nicht die erste Aktion von Cyber Serp. Im vergangenen Monat beanspruchte die Gruppe einen Datenleck-Angriff gegen das ukrainische Cybersicherheitsunternehmen Cipher für sich, wobei angeblich ein vollständiger Server-Dump einschließlich Kundendatenbank und Quellcode erbeutet wurde. Cipher bestätigte zwar die Kompromittierung von Mitarbeiterdaten, bestritt aber Schäden an kritischen Systemen.

Ähnliche Artikel