كشف فريق الاستجابة الطارئة للحوادث السيبرانية في أوكرانيا (CERT-UA) عن حملة تصيّد جديدة استخدمت اسم الوكالة نفسها كغطاء لنشر برمجية وصول عن بُعد تُعرف باسم AGEWHEEZE. المهاجمون، الذين يُعرفون باسم UAC-0255، أرسلوا رسائل بريد إلكتروني يومي 26 و27 مارس 2026، تضمنت أرشيفاً محمياً بكلمة مرور على منصة Files.fm تحت اسم “CERT_UA_protection_tool.zip”، وحثوا المستلمين على تثبيت “برنامج حماية متخصص”.
الأهداف والانتشار
استهدفت الحملة مؤسسات حكومية، مراكز طبية، شركات أمنية، مؤسسات تعليمية، مؤسسات مالية، وشركات تطوير برمجيات. بعض الرسائل أُرسلت من البريد “incidents@cert-ua[.]tech”، وهو موقع مزيف تبين لاحقاً أنه تم إنشاؤه بمساعدة أدوات ذكاء اصطناعي، مع تعليق في الشيفرة المصدرية يقول: “С Любовью, КИБЕР СЕРП” أي “مع الحب، CYBER SERP”.
قدرات البرمجية AGEWHEEZE
البرمجية مكتوبة بلغة Go وتتواصل مع خادم خارجي عبر WebSockets (العنوان: 54.36.237[.]92). وتدعم مجموعة واسعة من الأوامر، منها:
- تنفيذ أوامر النظام.
- إدارة الملفات والعمليات والخدمات.
- تعديل الحافظة (Clipboard) ومحاكاة لوحة المفاتيح والفأرة.
- التقاط صور للشاشة.
- ترسيخ الاستمرارية عبر مهام مجدولة أو تعديل السجل أو إضافتها إلى مجلد بدء التشغيل.
نتائج الحملة وردود الفعل
وفقاً لـ CERT-UA، لم تحقق الحملة نجاحاً واسعاً، إذ لم تُصب سوى عدد محدود من الأجهزة الشخصية التابعة لموظفين في مؤسسات تعليمية. وقدمت الوكالة الدعم الفني والمنهجي اللازم لمعالجة الإصابات.
في المقابل، أعلن المهاجمون الذين يطلقون على أنفسهم اسم Cyber Serp عبر قناة على Telegram أن الحملة استهدفت مليون بريد إلكتروني على ukr[.]net، وزعموا أنهم اخترقوا أكثر من 200 ألف جهاز، مؤكدين أنهم “ليسوا قطاع طرق” وأن المواطن الأوكراني العادي لن يتضرر من أفعالهم.
خلفية المهاجمين
مجموعة Cyber Serp ظهرت في نوفمبر 2025 عبر قناة على Telegram تضم أكثر من 700 مشترك. وفي الشهر الماضي، أعلنت مسؤوليتها عن اختراق شركة الأمن السيبراني الأوكرانية Cipher، مدعية أنها حصلت على نسخة كاملة من خوادم الشركة وقاعدة بيانات العملاء والشيفرة المصدرية لمنتجاتها. الشركة بدورها أكدت أن الاختراق اقتصر على بيانات مشروع واحد غير حساس، وأن بنيتها التحتية تعمل بشكل طبيعي.
