Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Tools zur Remoteverwaltung AGEWHEEZE RAT

AGEWHEEZE RAT

Von Mezo in Tools zur Remoteverwaltung, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsexperten haben eine gezielte Phishing-Operation aufgedeckt, bei der sich Angreifer als das ukrainische Computer Emergency Response Team (CERT) ausgaben, um ein Fernwartungstool namens AGEWHEEZE zu verbreiten. Die Kampagne, die der Gruppe UAC-0255 zugeschrieben wird, nutzte irreführende E-Mails, die am 26. und 27. März 2026 versendet wurden und die Empfänger zur Installation einer angeblich „speziellen Software“ aufforderten.

Diese E-Mails enthielten Links zu einem passwortgeschützten ZIP-Archiv auf Files.fm. Das Archiv mit dem Namen CERT_UA_protection_tool.zip wurde als legitimes Sicherheitstool präsentiert, enthielt aber tatsächlich Schadsoftware. Einige Nachrichten stammten von der gefälschten Adresse „incidents@cert-ua.tech“, was den Eindruck von Echtheit zusätzlich verstärkte.

Zielprofil und Angriffsreichweite

Die Operation war breit angelegt und zielte auf eine Vielzahl von Organisationen ab, die für die nationale Infrastruktur und öffentliche Dienstleistungen von entscheidender Bedeutung sind. Dazu gehörten:

  • Regierung und staatliche Institutionen
  • Medizinische und Gesundheitseinrichtungen
  • Unternehmen aus dem Sicherheits- und Verteidigungsbereich
  • Bildungsorganisationen
  • Finanzinstitute
  • Softwareentwicklungsfirmen

Trotz der breit angelegten Targeting-Strategie scheint die Gesamtwirksamkeit der Kampagne begrenzt zu sein. Es wurde lediglich eine geringe Anzahl von Infektionen bestätigt, die hauptsächlich private Geräte von Mitarbeitern in Bildungseinrichtungen betrafen.

Im Inneren von AGEWHEEZE: Fähigkeiten und Persistenzmechanismen

AGEWHEEZE ist ein in Go geschriebener Remote-Access-Trojaner, der für umfassende Systemkontrolle und -überwachung entwickelt wurde. Nach der Installation stellt er über WebSocket-Protokolle eine Verbindung zu einem Command-and-Control-Server unter der IP-Adresse 54.36.237.92 her.

Die Schadsoftware ermöglicht Angreifern die Durchführung eines breiten Spektrums an schädlichen Aktivitäten, darunter:

  • Ausführen beliebiger Befehle und Verwalten von Systemprozessen
  • Dateivorgänge durchführen und gespeicherte Daten bearbeiten
  • Screenshots erstellen und Benutzeraktivität überwachen
  • Emulation von Maus- und Tastatureingaben
  • Ändern des Zwischenablageinhalts
  • Die Persistenz kann durch geplante Aufgaben, Änderungen an der Windows-Registrierung oder die Platzierung im Autostart-Verzeichnis aufrechterhalten werden.

    • Diese Kombination von Funktionen macht AGEWHEEZE zu einem vielseitigen Werkzeug für Spionage, laterale Bewegung und langfristige Systemkompromittierung.

    Täuschende Infrastruktur und KI-gestützte Fertigung

    Die Untersuchung der betrügerischen Domain „cert-ua.tech“ ergab Hinweise auf eine automatisierte oder KI-gestützte Entwicklung. Der HTML-Quellcode der Website enthielt einen auffälligen Kommentar in russischer Sprache: „С Любовью, КИБЕР СЕРП“ („Mit Liebe, CYBER SERP“), was auf eine Zugehörigkeit zu einer Gruppe namens Cyber Serp hindeutet.

    Cyber Serp hat über seinen im November 2025 gegründeten Telegram-Kanal, der über 700 Abonnenten zählt, Verbindungen zu ukrainischen Cyberkriminellen aus dem Untergrund bekannt. Die Gruppe behauptete öffentlich, dass die Phishing-Kampagne bis zu einer Million E-Mail-Konten zum Ziel hatte und über 200.000 Geräte kompromittiert wurden – Zahlen, die unabhängige Einschätzungen deutlich übertreffen.

    Widersprüchliche Behauptungen und umfassendere Bedrohungsaktivitäten

    Cyber Serp hat versucht, sich als selektiver Akteur darzustellen und behauptet, dass normale Bürger von seinen Operationen nicht betroffen wären. Solche Aussagen stehen jedoch im Widerspruch zur wahllosen Natur groß angelegter Phishing-Kampagnen.

    In einem separaten Vorfall bekannte sich die Gruppe zu einem Angriff auf Cipher und behauptete, Zugriff auf Serverdaten, Kundendatenbanken und firmeneigenen Quellcode erlangt zu haben. Cipher bestätigte später eine begrenzte Kompromittierung, die die Zugangsdaten eines Mitarbeiters betraf, betonte aber Folgendes:

    • Die Kerninfrastruktur blieb sicher und betriebsbereit.
    • Das betroffene Konto hatte lediglich Zugriff auf ein einziges, unkritisches Projekt.

    Diese Diskrepanz verdeutlicht eine gängige Taktik von Bedrohungsakteuren: die Übertreibung der Auswirkungen, um den wahrgenommenen Einfluss und die Glaubwürdigkeit zu steigern.

    Bewertung und Sicherheitsimplikationen

    Die Kampagne verdeutlicht die anhaltende Wirksamkeit von Identitätsdiebstahl, insbesondere bei der Nutzung vertrauenswürdiger nationaler Cybersicherheitsbehörden. Obwohl die unmittelbaren Auswirkungen eingedämmt werden konnten, deuten die technische Raffinesse von AGEWHEEZE und das Ausmaß der versuchten Verbreitung auf eine anhaltende und sich stetig weiterentwickelnde Bedrohungslandschaft hin.

    Organisationen wird empfohlen, die E-Mail-Verifizierungsprozesse zu verstärken, unaufgefordert zugesandte Anhänge genau zu prüfen und die Mitarbeiter darin zu schulen, Identitätsdiebstahl im Zusammenhang mit autorisierten Institutionen zu erkennen.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...