Het Computer Emergencies Response Team van Oekraïne (CERT-UA) heeft details bekendgemaakt over een nieuwe malwarecampagne die zich richt op overheden en gemeentelijke zorginstellingen, voornamelijk klinieken en spoedeisende hulpziekenhuizen. De campagne, actief tussen maart en april 2026, maakt gebruik van malware die in staat is om gevoelige gegevens te stelen uit Chromium-gebaseerde webbrowsers en WhatsApp.

De campagne, die wordt toegeschreven aan een dreigingscluster met de naam UAC-0247, begint met een e-mail die zich voordoet als een voorstel voor humanitaire hulp. Ontvangers worden aangespoord om op een link te klikken die leidt naar een legitieme website die via een cross-site scripting (XSS)-kwetsbaarheid is gecompromitteerd, of naar een nepwebsite die met behulp van kunstmatige intelligentie (AI) is gemaakt. Het doel is het downloaden en uitvoeren van een Windows-snelkoppeling (LNK-bestand), die vervolgens een HTML-applicatie (HTA) uitvoert via de Windows-tool "mshta.exe".

De HTA toont een afleidingsformulier terwijl het tegelijkertijd een binaire payload ophaalt die shellcode injecteert in een legitiem proces, zoals "runtimeBroker.exe". CERT-UA meldt dat recentere campagnes gebruikmaken van een tweefasige loader, waarbij de tweede fase een eigen uitvoerbaar bestandsformaat gebruikt met volledige ondersteuning voor code- en datasegmenten, functie-imports en relocatie. De uiteindelijke payload is bovendien gecomprimeerd en versleuteld.

Een van de gebruikte tools is een TCP reverse shell, ook bekend als RAVENSHELL, die een TCP-verbinding opzet met een commandoserver om opdrachten uit te voeren via "cmd.exe". Daarnaast worden de malwarefamilie AGINGFLY en een PowerShell-script genaamd SILENTLOOP gedownload. SILENTLOOP bevat functies voor het uitvoeren van opdrachten, automatische configuratie-updates en het ophalen van het IP-adres van de command-and-control (C2)-server via een Telegram-kanaal, met alternatieve methoden als fallback.

AGINGFLY, ontwikkeld in C#, biedt volledige remote control over geïnfecteerde systemen. Het communiceert met de C2-server via WebSockets om opdrachten uit te voeren, een keylogger te starten, bestanden te downloaden en extra payloads te laden. Onderzoek naar ongeveer twaalf incidenten toont aan dat deze aanvallen worden gebruikt voor verkenning, laterale beweging en het stelen van inloggegevens en andere gevoelige data uit WhatsApp en Chromium-browsers. Hiervoor worden diverse open-source tools ingezet, waaronder ZAPiXDESK voor het ontsleutelen van lokale WhatsApp Web-databases, RustScan als netwerkscanner, Chisel voor tunneling van netwerkverkeer en andere hulpmiddelen.

Er zijn aanwijzingen dat ook vertegenwoordigers van de Oekraïense strijdkrachten doelwit zijn geweest. Dit blijkt uit de verspreiding van kwaadaardige ZIP-bestanden via Signal, die AGINGFLY installeren met behulp van DLL side-loading. Om het risico te beperken en het aanvalsoppervlak te verkleinen, adviseert CERT-UA het beperken van de uitvoering van LNK-, HTA- en JS-bestanden, evenals het gebruik van legitieme Windows-tools zoals "mshta.exe", "powershell.exe" en "wscript.exe".