Das in der ZIP-Datei mit dem Namen “CERT_UA_protection_tool.zip” enthaltene Schadprogramm tarnt sich als Sicherheitssoftware der Behörde. Tatsächlich handelt es sich nach Angaben von CERT-UA um den Fernzugriffstrojaner AGEWHEEZE.

Die in Go geschriebene Malware kommuniziert über WebSockets mit einem externen Server unter der Adresse “54.36.237[.]92”. Sie unterstützt ein breites Spektrum an Befehlen: das Ausführen von Kommandos, Dateioperationen, das Manipulieren der Zwischenablage, das Emulieren von Maus- und Tastatureingaben, das Anfertigen von Screenshots sowie das Verwalten von Prozessen und Diensten. Zur dauerhaften Verankerung im System nutzt AGEWHEEZE eine geplante Aufgabe, Änderungen an der Windows-Registry oder einen Eintrag im Autostart-Verzeichnis.

Nach Bewertung von CERT-UA verlief der Angriff weitgehend erfolglos. “Es wurden nicht mehr als einige wenige infizierte Privatgeräte von Beschäftigten an Bildungseinrichtungen unterschiedlicher Trägerschaft festgestellt”, erklärte die Behörde. Ihre Fachleute hätten die erforderliche methodische und praktische Hilfe geleistet.

Eine Analyse der gefälschten Website “cert-ua[.]tech” ergab, dass diese vermutlich mithilfe von KI-Werkzeugen erstellt wurde. Im HTML-Quelltext fand sich zudem ein Kommentar mit dem Wortlaut “С Любовью, КИБЕР СЕРП”, übersetzt “Mit Liebe, CYBER SERP”.

Auf Telegram bezeichnet sich Cyber Serp als “Cyber-Untergrund-Akteure aus der Ukraine”. Der entsprechende Kanal wurde im November 2025 angelegt und zählt mehr als 700 Abonnenten. Die Gruppe gibt an, die Phishing-E-Mails an eine Million Postfächer von ukr[.]net verschickt und mehr als 200.000 Geräte kompromittiert zu haben. “Wir sind keine Banditen – der durchschnittliche ukrainische Bürger wird durch unsere Handlungen niemals zu Schaden kommen”, hieß es in einem Beitrag.

In diesem Monat hatte Cyber Serp die Verantwortung für einen mutmaßlichen Einbruch beim ukrainischen Sicherheitsunternehmen Cipher übernommen. Die Gruppe behauptete, einen vollständigen Abzug der Server erbeutet zu haben, darunter eine Kundendatenbank und den Quellcode der CIPS-Produktreihe.

Cipher räumte in einer Stellungnahme auf seiner Website ein, dass Angreifer die Zugangsdaten eines Mitarbeiters bei einem der Technologieunternehmen kompromittiert hätten, betonte jedoch, die eigene Infrastruktur arbeite normal. Der betroffene Nutzer habe Zugriff auf ein einziges Projekt gehabt, das keine sensiblen Daten enthalten habe.