Ukrayna’nın bilgisayar acil durum müdahale ekibinin bulgularına göre, yeni tespit edilen AgingFly adlı kötü amaçlı yazılım türü, Ukrayna hükümet kurumları ve sağlık kuruluşlarını hedef alan siber saldırılarda kullanıldı.
Bu faaliyet, Mart ile Nisan 2026 arasında belediye yetkilileri, hastaneler ve acil tıbbi hizmetlere karşı birçok olay düzenleyen UAC-0247 olarak takip edilen bir tehdit kümesine bağlanmıştır.
Saldırılar, kendilerini insani yardım teklifleri olarak sunan oltalama e-postalarıyla başlıyor. Alıcılardan, ya tehlikeye girmiş bir meşru web sitesine ya da zararlı dosyalar göndermek için tasarlanmış sahte bir siteye yönlendiren bir bağlantıya tıklamaları istenir.
İlk etkileşimden sonra, mağdurlar çok aşamalı bir enfeksiyon zincirini tetikleyen bir kısayol dosyası içeren bir arşiv indirirler. Bu süreç, yerleşik Windows araçlarını kullanarak uzaktan bir HTML uygulamasını çalıştırır, bir aldatıcı belge gösterir ve gizli kalırken ek yükler kurar.
Saldırının son aşamasında AgingFly ve destekleyici bir PowerShell betiği olan SilentLoop dağıtılır. AgingFly, C# dilinde yazılmış olup uzaktan erişim özellikleri sunar; saldırganlar komutları çalıştırmaya, ekran görüntüleri yakalamaya, tuş baskılarını kaydetmesine ve enfekte sistemlerden dosya indirmesine olanak tanır.
Kötü amaçlı yazılım, şifreli WebSocket bağlantıları kullanarak komut sunucusuyla iletişim kurar ve talimatları yerel olarak depolamak yerine dinamik olarak alır. Bu yaklaşım, saldırganlara uygulama sırasında işlevselliği değiştirme imkanı verir ve tespiti karmaşıklaştırır.
AgingFly’ın dağıtımına paralel olarak, saldırganlar hassas verileri çıkarmak için ek araçlar kullanıyor. Bunlar ChromE arasında Chromium tabanlı tarayıcılardan kimlik bilgileri toplamak için levator ve WhatsApp verilerine erişmek için ZapixDesk bulunmaktadır.
Araştırmacılar, kampanyanın aynı zamanda tehlikeye girmiş ağlar içinde keşif ve yan hareketi de içerdiğini bildirdi. Saldırganlar, enfekte ortamlara erişimi sürdürmek için ağ tarama ve tünel araçları için RustScan gibi araçlar kullanır.
Bazı durumlarda, bu faaliyet veri hırsızlığının ötesine geçti. Araştırmacılar, kripto para madenciliği yazılımının tehlikeye girmiş sistemlerde kullanıldığını tespit etti; bu da ilk erişimden sonra hesaplama kaynaklarının ek kullanıldığını gösteriyor.
Kampanya ayrıca Ukrayna’nın savunma sektörüyle bağlantılı bireyleri de hedef aldı. Bir durumda, kötü amaçlı dosyalar Signal mesajlaşma platformu üzerinden yasal yazılım güncellemeleri kılığında dağıtıldı.
Tehdit grubunun kökeni kamuoyuna açıklanmadı. Ukraynalı yetkililer faaliyetleri izlemeye devam ediyor ve saldırı zincirinde yaygın olarak kullanılan belirli dosya türleri ve sistem araçlarının yürütülmesini kısıtlamaya yönelik öneriler yayınladı.