Secondo i risultati del team di risposta alle emergenze informatiche ucraine, una nuova variante di malware nota come AgingFly è stata utilizzata in attacchi informatici contro enti governativi ucraini e organizzazioni sanitarie.
L’attività è stata attribuita a un cluster di minacce tracciato come UAC-0247, che ha condotto numerosi incidenti tra marzo e aprile 2026 contro autorità municipali, ospedali e servizi medici di emergenza.
Gli attacchi iniziano con email di phishing che si presentano come proposte di aiuto umanitario. I destinatari sono invitati a cliccare su un link che conduce a un sito web legittimo compromesso o a un sito falso progettato per consegnare file dannosi.
Dopo l’interazione iniziale, le vittime scaricano un archivio contenente un file scorciatoia che attiva una catena di infezione a più stadi. Questo processo utilizza strumenti Windows integrati per eseguire un’applicazione HTML remota, visualizzare un documento esca e installare payload aggiuntivi rimanendo nascosto.
La fase finale dell’attacco utilizza AgingFly insieme a uno script PowerShell di supporto noto come SilentLoop. AgingFly è scritto in C# e offre capacità di accesso remoto, permettendo agli attaccanti di eseguire comandi, catturare screenshot, registrare tasti e scaricare file da sistemi infetti.
Il malware comunica con il suo server di comandi utilizzando connessioni WebSocket criptate e recupera le istruzioni dinamicamente invece di memorizzarle localmente. Questo approccio consente agli attaccanti di modificare la funzionalità durante l’esecuzione e complica il rilevamento.
Parallelamente all’implementazione di AgingFly, gli attaccanti utilizzano strumenti aggiuntivi per estrarre dati sensibili. Questi includono ChromE levator per raccogliere credenziali dai browser basati su Chromium e ZapixDesk per accedere ai dati di WhatsApp.
I ricercatori hanno riferito che la campagna prevede anche ricognizione e movimento laterale all’interno di reti compromesse. Gli attaccanti utilizzano strumenti come RustScan per la scansione di rete e le utility di tunneling per mantenere l’accesso agli ambienti infetti.
In alcuni casi, l’attività si estese oltre il furto di dati. Gli investigatori hanno identificato l’uso di software di mining di criptovalute su sistemi compromessi, indicando un ulteriore utilizzo delle risorse di calcolo dopo l’accesso iniziale.
La campagna ha inoltre preso di mira individui collegati al settore della difesa ucraino. In un caso, file dannosi sono stati distribuiti tramite la piattaforma di messaggistica Signal, mascherati da legittimi aggiornamenti software.
L’origine del gruppo di minaccia non è stata confermata pubblicamente. Le autorità ucraine continuano a monitorare l’attività e hanno emesso raccomandazioni per limitare l’esecuzione di alcuni tipi di file e utility di sistema comunemente utilizzati nella catena di attacco.