La unidad ucraniana de respuesta a incidentes CERT-UA ha alertado sobre una nueva campaña de phishing dirigida en la que actores maliciosos se hacen pasar por el organismo oficial de ciberseguridad para distribuir el Remote Access Trojan (RAT) AGEWHEEZE. El caso ilustra cómo los atacantes combinan el abuso de marcas de confianza con el uso de inteligencia artificial (IA) para potenciar sus tácticas de ingeniería social.
Campaña de phishing dirigida que suplanta a CERT-UA
Según el análisis de CERT-UA, el grupo identificado como UAC-0255 llevó a cabo, los días 26 y 27 de marzo de 2026, una oleada masiva de correos electrónicos que aparentaban proceder del propio equipo de respuesta. En varios casos se utilizó la dirección incidents@cert-ua[.]tech, diseñada para imitar al dominio legítimo del organismo. En los mensajes se instaba a los destinatarios a instalar un supuesto «software especializado de protección» contenido en un archivo ZIP protegido por contraseña alojado en la plataforma de intercambio de archivos Files.fm.
Los objetivos incluían organismos estatales, centros médicos, empresas de seguridad, instituciones educativas, entidades financieras y desarrolladores de software. Este abanico de víctimas es característico tanto de operaciones de ciberespionaje como de campañas con motivación económica, ya que permite acceder a infraestructuras críticas y a datos potencialmente monetizables, como información financiera o propiedad intelectual.
El archivo CERT_UA_protection_tool.zip contenía una aplicación presentada como herramienta oficial de protección de CERT-UA, que en realidad era el troyano de acceso remoto AGEWHEEZE. Una vez ejecutado, el malware proporciona a los atacantes un control casi completo del dispositivo comprometido, abriendo la puerta a fases posteriores del ataque.
RAT AGEWHEEZE: capacidades, control remoto y persistencia
AGEWHEEZE está desarrollado en el lenguaje Go, una tecnología cada vez más popular en el ecosistema de malware por su facilidad de compilación estática y su capacidad multiplataforma. El RAT se comunica con su servidor de mando y control mediante el protocolo WebSockets, manteniendo un canal bidireccional persistente hacia la dirección IP 54.36.237[.]92. Este tipo de comunicación dificulta la detección basada únicamente en firmas o en patrones sencillos de tráfico.
Entre sus funcionalidades destacan el ejecución remota de comandos, gestión de archivos, acceso y modificación al portapapeles, emulación de ratón y teclado, captura de pantallas, así como control de procesos y servicios del sistema. Estas capacidades permiten tanto la vigilancia discreta como la preparación de ataques posteriores, por ejemplo, el despliegue de ransomware, el robo de credenciales o el movimiento lateral dentro de la red corporativa.
Para asegurar su persistencia en sistemas Windows, AGEWHEEZE implementa varios mecanismos: creación de tareas programadas en el Task Scheduler, modificación de claves de registro y uso de la carpeta de inicio automático. Este enfoque en capas complica su eliminación completa sin un análisis forense y herramientas de seguridad especializadas, especialmente en entornos donde no se dispone de soluciones EDR/XDR modernas.
Dominio falso cert-ua[.]tech e identidad generada con inteligencia artificial
La infraestructura de la campaña incluyó el dominio fraudulento cert-ua[.]tech, empleado para reforzar la apariencia de legitimidad. El contenido del sitio muestra claros indicios de haber sido generado mediante herramientas de IA, una práctica cada vez más habitual que permite a los atacantes crear páginas convincentes en cuestión de minutos. En el código HTML del sitio se identificó además un comentario en ruso: «С Любовью, КИБЕР СЕРП» («Con amor, CYBER SERP»), que vincula el incidente con un grupo concreto de amenaza.
El uso de modelos generativos para redactar textos, diseñar interfaces creíbles e incluso imitar estilos de comunicación institucional incrementa la eficacia del phishing. Este fenómeno complica la detección basada en señales visuales o lingüísticas, subrayando la necesidad de enfoques basados en reputación del dominio, autenticación de correo y análisis de comportamiento.
Grupo Cyber Serp: atribución y antecedentes de ataques
La referencia en el código fuente apunta al colectivo conocido como Cyber Serp, activo al menos desde noviembre de 2025 y con presencia en un canal de Telegram con más de 700 suscriptores. El grupo se autodefine como «operativos clandestinos de Ucrania» y suele atribuirse públicamente campañas de intrusión y filtración de datos.
En relación con la campaña contra CERT-UA, Cyber Serp afirma haber enviado correos de phishing a 1 millón de buzones ukr[.]net y haber comprometido más de 200 000 dispositivos. No obstante, estas cifras no han sido verificadas por CERT-UA y deben tratarse con cautela, dado que los grupos de amenazas suelen exagerar su impacto con fines propagandísticos.
Con anterioridad, el grupo se atribuyó el compromiso de la empresa ucraniana de ciberseguridad Cipher, alegando haber obtenido volcados de servidores, bases de clientes y código fuente de productos CIPS. En su comunicado oficial, Cipher solo confirmó la comprometación de credenciales de un empleado de una empresa tecnológica colaboradora, con acceso limitado a un proyecto sin información sensible y sin impacto operativo en su infraestructura principal.
Medidas de protección frente a campañas de phishing y troyanos de acceso remoto
El incidente pone de manifiesto el riesgo de confiar en correos aparentemente procedentes de entidades conocidas sin validar el dominio y la autenticidad de los archivos adjuntos. Para reducir la superficie de ataque frente a campañas similares y al malware tipo RAT, las organizaciones deberían:
- Verificar cuidadosamente los dominios de remitentes y las URL antes de descargar o ejecutar archivos, especialmente si se presentan como «herramientas de protección», «urgentes actualizaciones» o «parches críticos».
- Implementar una protección de correo en varias capas: registros SPF, DKIM y DMARC correctamente configurados, junto con pasarelas antiphishing y antivirus que analicen adjuntos y enlaces.
- Restringir la ejecución de binarios y archivos desconocidos mediante políticas de seguridad, listas blancas de aplicaciones y controles de ejecución en estaciones de trabajo y servidores.
- Realizar formación continua en concienciación de ciberseguridad para que el personal identifique señales de phishing, fraude de identidad y técnicas de ingeniería social potenciadas por IA.
- Desplegar soluciones EDR/XDR capaces de detectar comportamientos anómalos asociados a RAT, como conexiones persistentes por WebSockets, creación inusual de tareas programadas y cambios sospechosos en el registro.
- Mantener copias de seguridad actualizadas de la información crítica y disponer de procedimientos de respuesta a incidentes probados, que contemplen aislamiento rápido de equipos y notificación a los equipos de respuesta nacionales.
La combinación de suplantación de marcas oficiales y uso de inteligencia artificial en las campañas de phishing seguirá ganando sofisticación. Fortalecer los controles técnicos, revisar las políticas de correo y, sobre todo, invertir de forma sostenida en la capacitación de usuarios son pasos esenciales para reducir el riesgo de compromiso por troyanos de acceso remoto como AGEWHEEZE. Cada organización, independientemente de su tamaño o sector, tiene la oportunidad de aprovechar incidentes como este para revisar su postura de ciberseguridad y reforzar su resiliencia frente a las próximas oleadas de ataques.
