Een nieuw geïdentificeerde malwarevariant, bekend als AgingFly, is gebruikt bij cyberaanvallen gericht op Oekraïense overheidsinstanties en zorgorganisaties, volgens bevindingen van het Oekraïense computernoodhulpteam.
De activiteit wordt toegeschreven aan een dreigingscluster met de naam UAC-0247, die tussen maart en april 2026 meerdere incidenten uitvoerde tegen gemeentelijke autoriteiten, ziekenhuizen en spoedeisende medische diensten.
De aanvallen beginnen met phishing-e-mails die zich presenteren als humanitaire hulpvoorstellen. Ontvangers worden gevraagd om op een link te klikken die leidt naar een gecompromitteerde legitieme website of een nepsite die bedoeld is om kwaadaardige bestanden te leveren.
Na de eerste interactie downloaden slachtoffers een archief met een snelkoppelingsbestand dat een meerstapsige infectieketen activeert. Dit proces gebruikt ingebouwde Windows-tools om een externe HTML-applicatie uit te voeren, een lokdocument weer te geven en extra payloads te installeren terwijl het verborgen blijft.
De laatste fase van de aanval zet AgingFly in, samen met een ondersteunend PowerShell-script genaamd SilentLoop. AgingFly is geschreven in C# en biedt mogelijkheden voor externe toegang, waardoor aanvallers commando’s kunnen uitvoeren, screenshots kunnen maken, toetsaanslagen kunnen loggen en bestanden van geïnfecteerde systemen kunnen downloaden.
De malware communiceert met zijn commandoserver via versleutelde WebSocket-verbindingen en haalt instructies dynamisch op in plaats van ze lokaal op te slaan. Deze aanpak stelt aanvallers in staat om functionaliteit tijdens de uitvoering aan te passen en bemoeilijkt de detectie.
Parallel aan het inzetten van AgingFly gebruiken de aanvallers extra hulpmiddelen om gevoelige gegevens te extraheren. Deze omvatten ChromE Levator om inloggegevens te verzamelen van Chromium-gebaseerde browsers en ZapixDesk om toegang te krijgen tot WhatsApp-gegevens.
Onderzoekers meldden dat de campagne ook verkenning en laterale beweging binnen gecompromitteerde netwerken omvat. Aanvallers gebruiken tools zoals RustScan voor netwerkscanning en tunneling-tools om toegang tot geïnfecteerde omgevingen te behouden.
In sommige gevallen ging de activiteit verder dan alleen datadiefstal. Onderzoekers identificeerden het gebruik van cryptocurrency miningsoftware op gecompromitteerde systemen, wat wijst op extra gebruik van computermiddelen na de eerste toegang.
De campagne heeft ook individuen gericht die verbonden zijn aan de Oekraïense defensiesector. In één geval werden kwaadaardige bestanden verspreid via het Signal-berichtenplatform, vermomd als legitieme software-updates.
De oorsprong van de dreigingsgroep is niet publiekelijk bevestigd. De Oekraïense autoriteiten blijven de activiteiten monitoren en hebben aanbevelingen gedaan om de uitvoering van bepaalde bestandstypen en systeemprogramma’s die vaak in de aanvalketen worden gebruikt, te beperken.