Une souche de malware nouvellement identifiée, connue sous le nom d’AgingFly, a été utilisée dans des cyberattaques ciblant des entités gouvernementales ukrainiennes et des organisations de santé, selon les résultats de l’équipe d’intervention informatique ukrainienne.
Cette activité a été attribuée à un groupe de menaces suivi sous le nom UAC-0247, qui a mené plusieurs incidents entre mars et avril 2026 contre les autorités municipales, les hôpitaux et les services médicaux d’urgence.
Les attaques commencent par des e-mails de phishing qui se présentent comme des propositions d’aide humanitaire. Les destinataires sont invités à cliquer sur un lien menant soit à un site web légitime compromis, soit à un faux site conçu pour livrer des fichiers malveillants.
Après l’interaction initiale, les victimes téléchargent une archive contenant un fichier raccourci qui déclenche une chaîne d’infection à plusieurs étapes. Ce processus utilise des outils Windows intégrés pour exécuter une application HTML distante, afficher un document leurre et installer des charges utiles supplémentaires tout en restant caché.
La phase finale de l’attaque déploie AgingFly avec un script PowerShell de soutien appelé SilentLoop. AgingFly est écrit en C# et offre des capacités d’accès à distance, permettant aux attaquants d’exécuter des commandes, capturer des captures d’écran, enregistrer les frappes clavier et télécharger des fichiers depuis des systèmes infectés.
Le malware communique avec son serveur de commandes via des connexions WebSocket chiffrées et récupère les instructions dynamiquement plutôt que de les stocker localement. Cette approche permet aux attaquants de modifier des fonctionnalités pendant l’exécution et complique la détection.
Parallèlement au déploiement d’AgingFly, les attaquants utilisent des outils supplémentaires pour extraire des données sensibles. Cela inclut ChromE levator pour collecter les identifiants des navigateurs basés sur Chromium et ZapixDesk pour accéder aux données WhatsApp.
Les chercheurs ont rapporté que la campagne implique également la reconnaissance et le déplacement latéral au sein de réseaux compromis. Les attaquants utilisent des outils tels que RustScan pour les utilitaires de balayage réseau et de tunneling afin de maintenir l’accès aux environnements infectés.
Dans certains cas, l’activité s’étendait au-delà du vol de données. Les enquêteurs ont identifié l’utilisation de logiciels de minage de cryptomonnaies sur des systèmes compromis, indiquant une utilisation supplémentaire des ressources informatiques après un accès initial.
La campagne a également ciblé des individus liés au secteur de la défense ukrainien. Dans un cas, des fichiers malveillants ont été distribués via la plateforme de messagerie Signal, déguisés en mises à jour logicielles légitimes.
L’origine du groupe de menace n’a pas été confirmée publiquement. Les autorités ukrainiennes continuent de surveiller l’activité et ont émis des recommandations pour restreindre l’exécution de certains types de fichiers et utilitaires système couramment utilisés dans la chaîne d’attaque.