{"id":431,"date":"2026-04-01T19:10:46","date_gmt":"2026-04-01T19:10:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/la-campana-de-suplantacion-de-identidad-de-cert-ua-difundio-el-malware-agewheeze-en-1-millon-de-correos-electronicos-cyberdefensa-mx\/"},"modified":"2026-04-01T19:10:46","modified_gmt":"2026-04-01T19:10:46","slug":"la-campana-de-suplantacion-de-identidad-de-cert-ua-difundio-el-malware-agewheeze-en-1-millon-de-correos-electronicos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/la-campana-de-suplantacion-de-identidad-de-cert-ua-difundio-el-malware-agewheeze-en-1-millon-de-correos-electronicos-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a de suplantaci\u00f3n de identidad de CERT-UA difundi\u00f3 el malware AGEWHEEZE en 1 mill\u00f3n de correos electr\u00f3nicos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha revelado<\/a> detalles de una nueva campa\u00f1a de phishing en la que se suplant\u00f3 la propia agencia de ciberseguridad para distribuir una herramienta de administraci\u00f3n remota conocida como AGEWHEEZE.<\/p>\n

Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255<\/strong>envi\u00f3 correos electr\u00f3nicos el 26 y 27 de marzo de 2026, haci\u00e9ndose pasar por CERT-UA para distribuir un archivo ZIP protegido con contrase\u00f1a alojado en Files.fm e inst\u00f3 a los destinatarios a instalar el \u00absoftware especializado\u00bb.<\/p>\n

Los objetivos de la campa\u00f1a incluyeron organizaciones estatales, centros m\u00e9dicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos de los correos electr\u00f3nicos fueron enviados desde la direcci\u00f3n de correo electr\u00f3nico \u00abincidents@cert-ua[.]tecnolog\u00eda.\u00bb<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El archivo ZIP (\u00abCERT_UA_protection_tool.zip\u00bb) est\u00e1 dise\u00f1ado para descargar malware empaquetado como software de seguridad de la agencia. El malware, seg\u00fan CERT-UA, es un troyano de acceso remoto con nombre en c\u00f3digo AGEWHEEZE. <\/p>\n

AGEWHEEZE, un malware basado en Go, se comunica con un servidor externo (\u00ab54.36.237[.]92\u00bb) sobre WebSockets y admite una amplia gama de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el mouse y el teclado, tomar capturas de pantalla y administrar procesos y servicios. Tambi\u00e9n crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agreg\u00e1ndose al directorio de Inicio.<\/p>\n

\"\"<\/a><\/div>\n

Se considera que el ataque no tuvo \u00e9xito en gran medida. \u00abNo se identificaron m\u00e1s que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad\u00bb, dijo la agencia. \u00abLos especialistas del equipo brindaron la asistencia metodol\u00f3gica y pr\u00e1ctica necesaria\u00bb.<\/p>\n

Un an\u00e1lisis del sitio web falso \u00abcert-ua\u00bb[.]tech\u00bb ha revelado que probablemente se gener\u00f3 con la ayuda de herramientas de inteligencia artificial (IA), y el c\u00f3digo fuente HTML tambi\u00e9n incluye un comentario: \u00ab\u0421 \u041b\u044e\u0431\u043e\u0432\u044c\u044e, \u041a\u0418\u0411\u0415\u0420 \u0421\u0415\u0420\u041f\u00bb, que significa \u00abCon amor, CYBER SERP\u00bb.<\/p>\n

En publicaciones en Telegram, Cyber \u200b\u200bSerp afirma que son \u00aboperadores cibern\u00e9ticos de Ucrania\u00bb. El canal Telegram fue creado en noviembre de 2025 y cuenta con m\u00e1s de 700 suscriptores.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El actor de amenazas tambi\u00e9n dijo que los correos electr\u00f3nicos de phishing se enviaron a 1 mill\u00f3n de ucras.[.]buzones de correo netos como parte de la campa\u00f1a, y que m\u00e1s de 200.000 dispositivos han sido comprometidos. \u00abNo somos bandidos: el ciudadano ucraniano medio nunca sufrir\u00e1 como resultado de nuestras acciones\u00bb, afirm\u00f3. dicho<\/a> en una publicaci\u00f3n.<\/p>\n

El mes pasado, Cyber \u200b\u200bSerp asumi\u00f3 la responsabilidad<\/a> por una presunta violaci\u00f3n de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una base de datos de clientes y el c\u00f3digo fuente de su l\u00ednea de productos CIPS, entre otros.<\/p>\n

En un comunicado en su sitio web, Cipher admitido<\/a> que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnolog\u00eda pero dijeron que su infraestructura estaba funcionando normalmente. El usuario infectado tuvo acceso a un \u00fanico proyecto, que no conten\u00eda datos confidenciales, a\u00f1adi\u00f3.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campa\u00f1a de phishing en la que se suplant\u00f3 la propia agencia de ciberseguridad para distribuir una herramienta de administraci\u00f3n remota conocida como AGEWHEEZE. Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envi\u00f3 correos electr\u00f3nicos el 26 […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1482,133,1480,1484,24,1481,1485,355,60,1483,1479],"class_list":["post-431","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-agewheeze","tag-campana","tag-certua","tag-correos","tag-cyberdefensa-mx","tag-difundio","tag-electronicos","tag-identidad","tag-malware","tag-millon","tag-suplantacion"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/431","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=431"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/431\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=431"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=431"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=431"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}