Die ukrainische Computer Emergency Response Team Ukraine (CERT-UA) warnt vor einer gezielten Phishing-Kampagne, in der Angreifer den Anschein offizieller Kommunikation erwecken, um den Remote-Access-Trojaner AGEWHEEZE zu verbreiten. Der Vorfall zeigt exemplarisch, wie vertrauenswürdige Marken und künstliche Intelligenz (KI) kombiniert werden, um Social-Engineering-Angriffe erheblich glaubwürdiger zu machen.
Phishing unter falscher Flagge: Ablauf der Angriffskampagne
Nach Angaben von CERT-UA steht hinter der Kampagne die Gruppe UAC-0255. Am 26. und 27. März 2026 wurden massenhaft E-Mails versendet, die scheinbar von der Behörde stammten. Teilweise nutzten die Angreifer Absenderadressen wie incidents@cert-ua[.]tech, um den offiziellen Domainnamen zu imitieren und Vertrauen zu erzeugen.
In den Nachrichten wurden die Empfänger aufgefordert, ein angeblich „spezialisiertes Schutzprogramm“ zu installieren. Dieses wurde in einem passwortgeschützten ZIP-Archiv mit dem Namen CERT_UA_protection_tool.zip über den Filehosting-Dienst Files.fm bereitgestellt. Solche Archive umgehen häufig einfache E-Mail-Scans, da der Inhalt nicht direkt überprüft werden kann.
Im Fokus der Kampagne standen Behörden, medizinische Einrichtungen, Sicherheitsunternehmen, Bildungseinrichtungen, Finanzorganisationen und Softwareentwickler. Diese Zielauswahl passt sowohl zu nachrichtendienstlich motivierten Operationen als auch zu finanziell motivierten Angriffen, da hier besonders sensible und monetarisierbare Daten verarbeitet werden.
Remote-Access-Trojaner AGEWHEEZE: Technik, Funktionen und Persistenz
Statt eines Schutzprogramms enthält das Archiv den Remote-Access-Trojaner AGEWHEEZE. Die Malware ist in Go entwickelt – einer Sprache, die aufgrund ihrer guten Unterstützung für statisch kompilierte, plattformübergreifende Binaries zunehmend in Schadsoftware-Projekten zu finden ist. Dadurch lassen sich kompakte, schwer zu analysierende Executables erzeugen.
AGEWHEEZE kommuniziert mit einem Command-and-Control-Server (C2) über WebSockets. CERT-UA ordnet den Verkehr der IP-Adresse 54.36.237[.]92 zu. WebSockets ermöglichen einen bidirektionalen, dauerhaften Kommunikationskanal über übliche HTTP(S)-Ports. Das erschwert die Erkennung durch einfache Netzwerkfilter und signaturebasierte IDS, da der Traffic wie legitimer Webverkehr aussehen kann.
Die Funktionspalette des Trojaners deckt typische Remote-Access-Trojaner (RAT)-Features ab: Ausführung beliebiger Kommandos, Dateioperationen, Zugriff auf den Zwischenspeicher, Emulation von Maus und Tastatur, Erstellen von Screenshots sowie Steuerung von Prozessen und Systemdiensten. Damit erhalten Angreifer nahezu vollständige Kontrolle über kompromittierte Systeme und können sowohl verdeckte Spionage als auch Folgeschritte wie Ransomware-Bereitstellung oder Credential-Diebstahl vorbereiten.
Zur Persistenz in Windows nutzt AGEWHEEZE mehrere Mechanismen: das Anlegen geplanter Aufgaben über den Task Scheduler, Änderungen an Autostart-Schlüsseln in der Registry sowie Einträge im Autostart-Ordner. Diese kombinierte Vorgehensweise erschwert die vollständige Entfernung ohne forensische Analyse, da einzelne Spuren allein oft nicht ausreichen, um die Infektion sicher zu erkennen.
Künstliche Intelligenz als Verstärker von Phishing und Social Engineering
Ein zentrales Element der Operation war die gefälschte Website cert-ua[.]tech, die dem offiziellen Auftritt von CERT-UA nachempfunden war. Analysen deuten darauf hin, dass große Teile des Inhalts mithilfe von KI-Textgeneratoren erstellt wurden. Im HTML-Quellcode fanden Experten den russischsprachigen Kommentar „С Любовью, КИБЕР СЕРП“ („Mit Liebe, KIBER SERP“), der auf die Urheberschaft der Angreifer schließen lässt.
Der Einsatz von KI zur automatisierten Erstellung glaubwürdiger Texte und Layouts entspricht einem wachsenden Trend. Berichte von ENISA und anderen europäischen Sicherheitsbehörden zeigen, dass Angreifer KI zunehmend nutzen, um Sprache, Stil und Corporate Design legitimer Organisationen nachzuahmen. Dadurch sinkt die Erkennungsrate klassischer Phishing-Indikatoren aus Sicht der Endnutzer deutlich.
Cyber Serp: Urheberschaft, Telegram-Kanal und frühere Vorfälle
Die Signatur im Quelltext verweist auf die Gruppe Cyber Serp, die sich in einem seit November 2025 bestehenden Telegram-Kanal als „kyberuntergrundige Operative aus der Ukraine“ inszeniert. Dort behaupten die Betreiber, die Phishing-E-Mails an eine Million Postfächer bei ukr[.]net versendet und über 200.000 Systeme kompromittiert zu haben. CERT-UA hat diese Zahlen nicht bestätigt; sie sind daher mit Vorsicht zu bewerten.
Cyber Serp reklamierte zuvor die Verantwortung für einen angeblichen Einbruch bei der ukrainischen Cybersicherheitsfirma Cipher. Während die Gruppe von einem vollständigen Server-Dump, Kundendaten und Quellcode mehrerer Produkte sprach, bestätigte Cipher offiziell lediglich die Kompromittierung der Zugangsdaten eines Mitarbeiters eines Technologiepartners. Laut Unternehmensangaben betraf dieser Zugang nur ein einzelnes Projekt ohne sensible Informationen, und die Infrastruktur blieb betriebsfähig. Der Vorfall illustriert, wie Angreifer die Wirkung ihrer Aktionen in Propagandakanälen überhöhen.
Lehren für die Praxis: Schutz vor Phishing-Kampagnen und RAT-Infektionen
CERT-UA stuft die konkrete Kampagne als nur begrenzt erfolgreich ein. Identifiziert wurden wenige infizierte private Geräte von Mitarbeitenden aus Bildungseinrichtungen. Die schnelle Unterstützung der Betroffenen begrenzte den Schaden. Für Organisationen lassen sich aus dem Fall dennoch wichtige Handlungsfelder ableiten:
- Strenge Prüfung von Absendern und Domains: E-Mails mit sicherheitsrelevanten Aufforderungen (Update, „Schutztool“, Kontobestätigung) sollten stets auf Domainabweichungen und technische Header überprüft werden.
- Harte E-Mail-Sicherheitskonfiguration: Einsatz und korrekte Konfiguration von SPF, DKIM und DMARC erschweren Domain-Spoofing. Ergänzend sollten Anti-Phishing- und Antivirus-Gateways vorgeschaltet sein.
- Kontrolle von ausführbaren Dateien: Richtlinien zur Anwendungskontrolle (z.B. Allowlisting) und restriktive Rechte für Benutzerkonten reduzieren das Risiko, dass unbekannte EXE-Dateien oder Archive ausgeführt werden können.
- Security-Awareness-Trainings: Regelmäßige Schulungen und Phishing-Simulationen erhöhen die Erkennungsrate von Social-Engineering-Versuchen. Nach gängigen Studien gehen ein erheblicher Teil erfolgreicher Angriffe auf menschliche Fehlentscheidungen zurück.
- EDR/XDR und Netzwerküberwachung: Moderne Endpoint-Detection-&-Response-Lösungen helfen, RAT-Aktivitäten wie ungewöhnliche WebSocket-Verbindungen, Prozessanomalien oder Persistenzversuche frühzeitig zu entdecken.
- Backup- und Incident-Response-Strategien: Getestete Sicherungskonzepte und definierte Reaktionspläne sind entscheidend, um bei einer erfolgreichen Kompromittierung schnell zu isolieren, zu bereinigen und wiederherzustellen.
Phishing-Kampagnen, die offizielle Marken wie CERT-UA imitieren und KI-gestützte Inhalte einsetzen, werden weiter an Professionalität gewinnen. Organisationen, die ihre E-Mail-Sicherheit konsequent stärken, Mitarbeitende regelmäßig sensibilisieren und auf verhaltensbasierte Erkennungstechniken setzen, erhöhen ihre Widerstandsfähigkeit deutlich. Es lohnt sich, bestehende Sicherheitskonzepte jetzt an diesen Beispielen zu spiegeln, Lücken zu schließen und so das Risiko zukünftiger Remote-Access-Trojaner wie AGEWHEEZE nachhaltig zu reduzieren.
