Невідомі зловмисники розсилали злошкідливі листи від імені кіберкоманди CERT-UA

Національна команда реагування на кіберінциденти CERT-UA в кінці березня 2026 року зафіксувала випадки розповсюдження небезпечних електронних листів нібито від її імені. Ці листи містили «попередження» про начебто підготовку масштабної кібератаки та заклик щодо завантаження з сервісу Files.fm захищеного паролем архіву та встановлення «спеціалізованого програмного забезпечення». Крім того, в них була інструкція для завантаження згаданого «засобу захисту».

Під час аналізу також було виявлено вебресурс cert-ua[.]tech, що містить матеріали з офіційної вебсторінки cert.gov.ua.

Фахівці CERT-UA під час дослідження з’ясували, що виконуваний файл, який пропонувалося встановити, є багатофункціональним програмним засобом для віддаленого керування комп’ютером та класифікований CERT-UA як AGEWHEEZE.

AGEWHEEZE – програмний засіб класу RAT, розроблений з використанням мови програмування Go. Окрім стандартного для таких програм функціоналу виконання команд та керування файлами, він підтримує передачу вмісту екрану, емуляцію вводу миші / клавіатури, буфер обміну, керування процесами та службами.

Також фахівці CERT-UA під час аналізу виявили наступне:

• Сервер управління програмним засобом розміщено на технічному майданчику французької компанії OVH (AS16276). На мережевому порті 8443/tcp опубліковано вебсторінку з назвою «The Cult». У вихідному коді HTML-сторінки наявні рядки російською мовою: «Членство приостановлено. Твой доступ к Культу был заблокирован. Свяжись с администратором для восстановления». 
• Фейкова вебсторінка hXXps://cert-ua[.]tech/ –  згенерована за допомогою ШІ. Під час огляду фахівці звернули увагу на рядки рос. мовою «С Любовью, КИБЕР СЕРП — https://t.me/CyberSerp_Official» в коді HTML-сторінки. Водночас CERT-UA не може ні спростувати, ні підтвердити інформацію щодо можливої причетності осіб, що висвітлюють активність у згаданому Telegram-каналі, до наведених у статті кібератак із застосуванням AGEWHEEZE.

Для відстеження описаної активності створено ідентифікатор UAC-0255.

Зазначимо, що згідно зі звітом CERT-UA, з 2022 року кількість кіберінцидентів в Україні зросла майже втричі.