Ein neu identifizierter Malware-Stamm namens AgingFly wurde laut Erkenntnissen des ukrainischen Computer-Notfallteams bei Cyberangriffen gegen ukrainische Regierungsstellen und Gesundheitseinrichtungen eingesetzt.
Die Aktivität wird einem Bedrohungscluster namens UAC-0247 zugeschrieben, der zwischen März und April 2026 mehrere Vorfälle gegen kommunale Behörden, Krankenhäuser und Notfalldienste durchgeführt hat.
Die Angriffe beginnen mit Phishing-E-Mails, die sich als humanitäre Hilfsangebote präsentieren. Die Empfänger werden aufgefordert, auf einen Link zu klicken, der entweder zu einer kompromittierten legitimen Website oder zu einer gefälschten Seite führt, die bösartige Dateien liefern soll.
Nach der ersten Interaktion laden die Opfer ein Archiv herunter, das eine Verknüpfungsdatei enthält, die eine mehrstufige Infektionskette auslöst. Dieser Prozess verwendet integrierte Windows-Tools, um eine entfernte HTML-Anwendung auszuführen, ein Täuschungsdokument anzuzeigen und zusätzliche Payloads zu installieren, während es verborgen bleibt.
Die letzte Phase des Angriffs setzt AgingFly zusammen mit einem unterstützenden PowerShell-Skript namens SilentLoop ein. AgingFly ist in C# geschrieben und bietet Fernzugriffsfunktionen, die es Angreifern ermöglichen, Befehle auszuführen, Screenshots zu machen, Tastenanschläge zu protokollieren und Dateien von infizierten Systemen herunterzuladen.
Die Schadsoftware kommuniziert mit ihrem Befehlsserver über verschlüsselte WebSocket-Verbindungen und ruft Anweisungen dynamisch ab, anstatt sie lokal zu speichern. Dieser Ansatz ermöglicht es Angreifern, die Funktionalität während der Ausführung zu modifizieren und erschwert die Erkennung.
Parallel zur Einführung von AgingFly nutzen die Angreifer zusätzliche Werkzeuge, um sensible Daten zu extrahieren. Dazu gehören ChromE Levator zur Sammlung von Zugangsdaten von Chromium-basierten Browsern und ZapixDesk zum Zugriff auf WhatsApp-Daten.
Forscher berichteten, dass die Kampagne auch Aufklärung und seitliche Bewegungen innerhalb kompromittierter Netzwerke umfasst. Angreifer nutzen Werkzeuge wie RustScan für Netzwerkscans und Tunneling-Tools, um den Zugriff auf infizierte Umgebungen aufrechtzuerhalten.
In manchen Fällen ging die Aktivität über Datendiebstahl hinaus. Die Ermittler identifizierten den Einsatz von Kryptowährungs-Mining-Software auf kompromittierten Systemen, was auf einen zusätzlichen Verbrauch der Rechenressourcen nach dem ersten Zugriff hinweist.
Die Kampagne hat auch Personen ins Visier genommen, die mit dem ukrainischen Verteidigungssektor verbunden sind. In einem Fall wurden bösartige Dateien über die Signal-Messaging-Plattform verbreitet, getarnt als legitime Software-Updates.
Der Ursprung der Bedrohungsgruppe wurde nicht öffentlich bestätigt. Die ukrainischen Behörden überwachen die Aktivitäten weiterhin und haben Empfehlungen herausgegeben, die Ausführung bestimmter Dateitypen und Systemdienstprogramme zu beschränken, die häufig in der Angriffskette verwendet werden.