CERT-UA: Campagne d'hameçonnage AGEWHEEZE touche 1 million d'emails

Alerte Sécurité : Campagne d'Hameçonnage Active

CERT-UA signale une vaste campagne d'hameçonnage usurpant l'identité de l'équipe de réponse aux incidents ukrainienne pour diffuser le cheval de Troie AGEWHEEZE. Selon des rapports, la campagne a visé jusqu'à un million d'adresses les 26 et 27 mars 2026, en envoyant des archives ZIP protégées par mot de passe pour contourner les filtrages automatisés¹ ^².

Analyse Technique

Vecteur d'Infection et chaîne d'attaque

L'envoi massif d'e-mails frauduleux est la première étape. Le scénario observé suit généralement ce déroulé :

Envoi d'un e-mail usurpé à grande échelle, imitant CERT-UA ou une entité de confiance.
Pièce jointe principale : archive ZIP protégée par mot de passe, souvent accompagnée d'un mot de passe dans le corps du message.
L'utilisateur extrait l'archive et exécute un fichier délivrant le payload.
Le malware établit un canal de commande et contrôle (C2) en tirant partie d'outils légitimes présents sur le poste (LOLBins) pour réduire la détection.
Persistance obtenue via modifications de registre ou tâches planifiées afin de survivre aux redémarrages.

Ce processus mise sur l'erreur humaine et la dissimulation des charges utiles derrière un mot de passe, freinant les moteurs d'analyse automatique¹ ^².

Mécanismes d'AGEWHEEZE

AGEWHEEZE est un RAT (Remote Access Trojan) capable de :

exfiltrer des fichiers et exécuter des commandes à distance;
collecter des données actives comme captures d'écran et enregistrements audio;
utiliser l'obfuscation des binaires et l'exécution via LOLBins pour masquer son activité et retarder la détection.

Les techniques observées privilégient la furtivité plutôt que l'exploitation de failles logicielles connues, ce qui rend la campagne adaptée à un large public sans prérequis de version logicielle particulière¹ ^².

CVE et vulnérabilités exploitées

Aucune vulnérabilité CVE spécifique n'est signalée comme exploitée dans cette campagne. L'attaque repose principalement sur l'ingénierie sociale et la livraison d'archives chiffrées qui empêchent l'inspection automatique¹ ^².

IoC et pistes de détection

Points d'observation prioritaires pour les équipes SOC et IR :

hashes connus des échantillons d'AGEWHEEZE rapportés par CERT-UA et les partenaires de renseignement;
noms de domaine et adresses IP des serveurs C2 répertoriés dans les bulletins officiels;
connexions sortantes inhabituelles vers des domaines récemment enregistrés ou vers des services de relais;
processus enfants atypiques liés à outils système classiques (cmd, powershell, rundll32) et comportements de living-off-the-land;
accès répétés à dossiers sensibles, captures d'écran, ou utilisation du microphone.

Intégrer ces IoC dans vos systèmes d'alerte et maintenir une chasse proactive sur les endpoints et le réseau permet de détecter des compromissions avant exfiltration massive¹ ^².

Impacts business

Portée et coût potentiel

Les chiffres de diffusion et les taux d'ouverture initiaux donnent une idée du périmètre d'exposition. Avec un envoi vers un million d'adresses et un taux d'ouverture estimé entre 1 et 5 %, le nombre de postes susceptibles d'être infectés peut atteindre environ 50 000 dans le pire des cas¹. Les coûts d'une compromission englobent la réponse technique, la restauration, la perte d'activité et l'impact réputationnel; ils peuvent s'étendre de plusieurs dizaines de milliers d'euros à plusieurs millions selon l'étendue de l'exfiltration et la durée de la compromission³.

Impacts concrets observés ou plausibles :

exfiltration de données RH, financières ou IP;
accès persistant permettant mouvements latéraux et escalade de privilèges;
interruption de services critiques et coûts de notification réglementaire;
atteinte à la confiance des clients et partenaires.

Scénarios chiffrés

Pour cadrer l'impact financier sans prétendre à une précision universelle, voici des fourchettes comparatives déjà utilisées dans des réponses à incident :

Petite entité (10 postes) : 15k-50k EUR.
Entreprise moyenne (500 postes) : 300k-1.2M EUR.
Grande entreprise avec perte de données sensibles : plusieurs millions d'euros possibles³.

Ces ordres de grandeur doivent guider la priorisation des mesures selon la criticité des actifs et la sensibilité des données exposées.

Recommandations

Les équipes doivent agir maintenant. Voici un plan d'action priorisé, combinant mesures techniques immédiates, actions organisationnelles et orientations stratégiques.

Mesures techniques immédiates

Bloquer et analyser : retirer ou isoler rapidement les e-mails suspects; collecter les archives ZIP et analyser les hashes en environnement contrôlé; injecter les IoC dans les solutions de détection.
Renforcer la filtration des e-mails : activer l'inspection heuristique des pièces jointes quand c'est possible; appliquer une quarantaine stricte pour les archives protégées par mot de passe et demander validation manuelle avant diffusion interne.
Durcir les endpoints : appliquer le principe du moindre privilège, restreindre l'exécution depuis les dossiers temporaires et blocage des extensions exécutables non autorisées; déployer règles EDR centrées sur comportements de living-off-the-land.
Segmenter le réseau : isoler les environnements sensibles via ACLs et filtrage sortant stricte afin de limiter les mouvements latéraux et les canaux C2.

Ces mesures s'appuient sur les bonnes pratiques de défense en profondeur recommandées par les autorités et par les guides opérationnels³.

Mesures organisationnelles

Sensibilisation urgente : lancer une campagne d'information ciblée sur la menace en rappelant de ne pas extraire ni exécuter d'archives reçues non sollicitées, même si l'expéditeur semble légitime.
Mise à jour des playbooks IR : intégrer des procédures spécifiques pour manipuler des archives chiffrées reçues par e-mail, y compris étapes d'analyse, d'isolement et de notification.
Gestion des accès : auditer les comptes à privilèges, retirer les droits non nécessaires et imposer l'authentification multifacteur sur les accès critiques.

Mesures stratégiques

Threat intelligence : mettre en place un flux TI opérationnel incorporant les alertes de CERT-UA et corréler ces informations avec vos logs pour accélérer la détection².
Continuité et sauvegardes : vérifier l'intégrité des sauvegardes, tester les restaurations et s'assurer qu'elles sont isolées du réseau principal.
Assurance et contractualisation : revoir les clauses de cybersécurité et les exigences de notification dans les contrats fournisseurs et clients pour limiter les impacts juridiques et financiers.

Les équipes SOC et IR doivent prioritairement lancer des campagnes de chasse sur les IoC publiés, mettre à jour les signatures et valider rapidement les sauvegardes saines. Le risque financier de l'inaction peut atteindre des montants très élevés en cas d'exfiltration de données sensibles³.

Agissez maintenant : chaque heure compte face à une campagne diffusant massivement un outil de contrôle à distance.

Questions fréquentes

Comment repérer rapidement un e-mail qui usurpe une entité comme CERT-UA ?

Vérifier l'adresse d'envoi complète et les en-têtes SMTP pour détecter des divergences par rapport aux domaines officiels; regarder la cohérence du style rédactionnel et la présence d'un mot de passe communiquant pour une archive; ne pas extraire ni exécuter de pièces jointes sans validation via un canal connu et public de l'entité prétendue².

Pourquoi les archives ZIP protégées par mot de passe sont-elles utilisées par les attaquants ?

Parce qu'elles empêchent l'inspection automatique des contenus en transit et forcent souvent l'utilisateur à extraire manuellement les fichiers, ce qui crée une opportunité d'erreur humaine conduisant à l'exécution du payload¹.

Quelles règles e-mail appliquer immédiatement pour réduire le risque ?

Mettre en quarantaine automatique les archives protégées par mot de passe, exiger une validation manuelle via un canal alternatif pour les archives non sollicitées, et bloquer les pièces jointes exécutables et scripts non nécessaires. Ces règles doivent être rétroactives sur les boîtes de réception si possible³.

L'EDR suffit-il pour se protéger contre AGEWHEEZE ?

Non. L'EDR est indispensable mais doit être combiné avec un filtrage e-mail efficace, MFA, segmentation réseau et formation des utilisateurs pour limiter l'impact et la probabilité d'infection³.

Que faire en cas de compromission avérée par AGEWHEEZE ?

Isoler immédiatement le poste, collecter mémoire et journaux, suivre le playbook IR : rotation des credentials, révocation des certificats si requis, chasse aux mouvements latéraux et exfiltration, puis restauration depuis sauvegardes saines après nettoyage et validation forensique.