Una cepa de malware recién identificada conocida como AgingFly ha sido utilizada en ciberataques dirigidos a entidades gubernamentales ucranianas y organizaciones sanitarias, según los hallazgos del equipo de respuesta a emergencias informáticas de Ucrania.
La actividad se ha atribuido a un grupo de amenazas rastreado como UAC-0247, que llevó a cabo múltiples incidentes entre marzo y abril de 2026 contra autoridades municipales, hospitales y servicios médicos de emergencia.
Los ataques comienzan con correos electrónicos de phishing que se presentan como propuestas de ayuda humanitaria. Se pide a los destinatarios que hagan clic en un enlace que conduzca a un sitio web legítimo comprometido o a un sitio falso diseñado para entregar archivos maliciosos.
Tras la interacción inicial, las víctimas descargan un archivo que contiene un archivo de acceso directo que desencadena una cadena de infección en varias etapas. Este proceso utiliza herramientas integradas de Windows para ejecutar una aplicación HTML remota, mostrar un documento señuelo e instalar cargas adicionales mientras permanece oculto.
La fase final del ataque despliega AgingFly junto con un script PowerShell de apoyo conocido como SilentLoop. AgingFly está escrito en C# y ofrece capacidades de acceso remoto, permitiendo a los atacantes ejecutar comandos, capturar capturas de pantalla, registrar pulsaciones de teclas y descargar archivos de sistemas infectados.
El malware se comunica con su servidor de comandos mediante conexiones WebSocket cifradas y recupera las instrucciones dinámicamente en lugar de almacenarlas localmente. Este enfoque permite a los atacantes modificar la funcionalidad durante la ejecución y complica la detección.
Paralelamente al despliegue de AgingFly, los atacantes utilizan herramientas adicionales para extraer datos sensibles. Entre ellas se incluyen ChromE levator para recopilar credenciales de navegadores basados en Chromium y ZapixDesk para acceder a datos de WhatsApp.
Los investigadores informaron que la campaña también implica reconocimiento y movimiento lateral dentro de redes comprometidas. Los atacantes utilizan herramientas como RustScan para el escaneo de red y utilidades de tunelización para mantener el acceso a entornos infectados.
En algunos casos, la actividad se extendió más allá del robo de datos. Los investigadores identificaron el uso de software de minería de criptomonedas en sistemas comprometidos, lo que indica un uso adicional de recursos informáticos tras el acceso inicial.
La campaña también ha dirigido a personas vinculadas al sector de defensa ucraniano. En un caso, los archivos maliciosos se distribuyeron a través de la plataforma de mensajería Signal, disfrazados de actualizaciones legítimas de software.
El origen del grupo de amenaza no ha sido confirmado públicamente. Las autoridades ucranianas continúan monitorizando la actividad y han emitido recomendaciones para restringir la ejecución de ciertos tipos de archivos y utilidades del sistema comúnmente utilizadas en la cadena de ataques.