Комп’ютерна команда реагування на надзвичайні ситуації України – CERT-UA розкрила деталі масштабної фішингової кампанії, у якій зловмисники видавали себе за саму агенцію, щоб розповсюдити троян віддаленого доступу — програму Agewheeze. Угруповання, якому присвоєно ідентифікатор UAC-0255, 26 і 27 березня 2026 року надсилало електронні листи від імені CERT-UA з посиланням на захищений паролем ZIP-архів, розміщений на Files[.]fm. Одержувачів просили встановити «спеціалізоване програмне забезпечення для захисту». Серед цілей — державні органи, медичні заклади, компанії з кібербезпеки, освітні та фінансові установи, а також розробники програмного забезпечення. Частина листів надходила з адреси incidents@cert-ua[.]tech. Файл “CERT_UA_protection_tool.zip” завантажував на комп’ютер шкідливе ПЗ, замасковане під захисний інструмент агенції.

Agewheeze — це повнофункціональний троян дистанційного керування. Закріплення в системі Agewheeze забезпечує через ключ реєстру Windows, папку автозапуску або заплановане завдання — з назвами записів “SvcHelper” або “CoreService”. Усі команди зловмисника передаються через з’єднання WebSocket до сервера управління, розміщеного у французького хмарного провайдера OVH. Зловмисники повідомили, що фішингові листи були надіслані на 1 мільйон поштових скриньок ukr[.]net. CERT-UA оцінила кампанію як «неуспішну»: зафіксовано лише кілька інфікованих особистих пристроїв працівників освітніх установ.