文章总结： 威胁组织UAC-0255冒充乌克兰CERT-UA发起钓鱼攻击，诱导下载AGEWHEEZE远控木马。该木马具备命令执行与持久化能力，攻击者疑似借AI生成仿冒网站。实际影响有限，仅少量机构受感染。事件表明AI正降低攻击门槛，建议缩减攻击面并启用AppLocker等工具强化防护。 综合评分： 80 文章分类： 威胁情报,恶意软件,应急响应,社会工程学,安全意识

恶意组织 UAC‑0255 冒充乌克兰国家计算机应急响应小组 CERT‑UA，通过网络钓鱼传播 AGEWHEEZE 恶意软件

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月3日 08:49 湖北

编号为 UAC-0255 的威胁组织在一次网络钓鱼活动中冒充乌克兰国家计算机应急响应小组 CERT-UA，向约一百万用户发送钓鱼邮件。邮件诱骗受害者从 Files.fm 下载一个受密码保护的压缩包，并安装所谓 “专用软件”，该程序实为 AGEWHEEZE 远程控制木马，可让攻击者完全控制受感染设备。

乌克兰国家网络事件、网络攻击与网络威胁应对小组 CERT-UA 发布的公告中写道：“2026 年 3 月 26 日至 27 日，CERT-UA 监测到多起以本机构名义发送恶意邮件的事件，邮件诱导用户从 Files.fm 下载加密压缩包（文件名如 CERT_UA_protection_tool.zip、protection_tool.zip）并安装‘专用安全软件’。经核查，该可执行文件（内部包名：/example.com/tvisor/agent）是一款多功能远程控制工具，CERT-UA 将其命名为 AGEWHEEZE。”

AGEWHEEZE 支持命令执行、文件管理、屏幕截图、输入控制以及进程与服务管理。它可通过注册表、自启动项或计划任务实现持久化驻留，并将自身安装在 AppData 目录下。该恶意软件通过 WebSocket 与控制服务器通信，还能窃取剪贴板数据、执行系统指令并控制系统行为。

此次攻击目标包括政府机构、医疗机构、安全企业、教育机构、金融机构、软件开发公司等。

攻击者搭建了仿冒网站 cert-ua [.] tech，伪装成 CERT-UA 官方网站，用以分发实为 AGEWHEEZE 木马的虚假 “安全工具”，实现对受害设备的远程控制。CERT-UA 专家指出，其命令与控制服务器托管在 OVH 机房，服务器上包含一个名为 “The Cult” 的登录页面，带有俄语元素，暗示攻击者来源或相关关联。

该仿冒网站还附带一个 Telegram 频道链接，宣称对此次攻击负责，证实幕后组织为 UAC-0255。

该虚假网站疑似由 AI 生成，页面中提及 CYBER SERP 组织。该组织自 2025 年底开始活跃并宣称发动此次攻击，声称已向一百万用户发送钓鱼邮件，感染超二十万台设备，该数据尚未得到证实。

此次攻击影响范围有限，仅少量教育机构设备被感染，CERT-UA 专家已协助完成处置。该事件表明 AI 技术正在降低网络攻击门槛，同时也凸显了缩减攻击面、使用 AppLocker 等安全工具与系统防护措施的必要性。

乌方相关部门对乌克兰电信运营商在网络防御与威胁情报共享方面的支持表示感谢。同时警告称，AI 正在降低攻击难度，呼吁各机构进一步缩减攻击面，利用系统防护机制与专业安全工具强化安全防御。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《恶意组织 UAC‑0255 冒充乌克兰国家计算机应急响应小组 CERT‑UA，通过网络钓鱼传播 AGEWHEEZE 恶意软件》