Uma cepa de malware recém-identificada conhecida como AgingFly tem sido usada em ataques cibernéticos direcionados a entidades governamentais ucranianas e organizações de saúde, segundo descobertas da equipe de resposta a emergências informáticas da Ucrânia.
A atividade foi atribuída a um cluster de ameaças rastreado como UAC-0247, que realizou múltiplos incidentes entre março e abril de 2026 contra autoridades municipais, hospitais e serviços médicos de emergência.
Os ataques começam com e-mails de phishing que se apresentam como propostas de ajuda humanitária. Os destinatários são convidados a clicar em um link que leva a um site legítimo comprometido ou a um site falso projetado para entregar arquivos maliciosos.
Após a interação inicial, as vítimas baixam um arquivo contendo um arquivo de atalho que desencadeia uma cadeia de infecção em múltiplos estágios. Esse processo utiliza ferramentas integradas do Windows para executar uma aplicação HTML remota, exibir um documento isca e instalar cargas adicionais enquanto permanece oculto.
A etapa final do ataque implanta o AgingFly junto com um script PowerShell de suporte conhecido como SilentLoop. O AgingFly é escrito em C# e oferece recursos de acesso remoto, permitindo que atacantes executem comandos, capturem capturas de tela, registrem teclas e baixem arquivos de sistemas infectados.
O malware se comunica com seu servidor de comandos usando conexões WebSocket criptografadas e recupera instruções dinamicamente, em vez de armazená-las localmente. Essa abordagem permite que atacantes modifiquem funcionalidades durante a execução e complica a detecção.
Paralelamente à implantação do AgingFly, os atacantes utilizam ferramentas adicionais para extrair dados sensíveis. Essas incluem ChromE o levator para coletar credenciais de navegadores baseados em Chromium e o ZapixDesk para acessar dados do WhatsApp.
Pesquisadores relataram que a campanha também envolve reconhecimento e movimento lateral dentro de redes comprometidas. Atacantes utilizam ferramentas como o RustScan para varredura de rede e utilitários de tunelamento para manter o acesso a ambientes infectados.
Em alguns casos, a atividade se estendeu além do roubo de dados. Os investigadores identificaram o uso de software de mineração de criptomoedas em sistemas comprometidos, indicando uso adicional de recursos computacionais após o acesso inicial.
A campanha também tem como alvo indivíduos ligados ao setor de defesa da Ucrânia. Em um caso, arquivos maliciosos foram distribuídos pela plataforma de mensagens Signal, disfarçados de atualizações legítimas de software.
A origem do grupo de ameaça não foi confirmada publicamente. As autoridades ucranianas continuam monitorando a atividade e emitiram recomendações para restringir a execução de certos tipos de arquivos e utilitários de sistema comumente usados na cadeia de ataques.