CERT‑UA und regionale Medien meldeten eine Phishing‑Kampagne (UAC‑0050), die sich als ukrainische Regierungsbehörden ausgab, polnische und ukrainische Amtsträger anvisierte und Remcos RAT sowie Meduza Stealer auslieferte. Die Kampagne verbindet spionageähnliche Zielausrichtung mit Commodity‑Malware, um Zugangsdaten und Fernzugriff zu erbeuten.

Am 8. Dez. 2025 berichteten und dokumentierten Cybersicherheitsbehörden eine gezielte Phishing‑Kampagne, die als UAC‑0050 bezeichnet wird, die sich als ukrainische Regierungsstellen ausgab und Empfänger in Polen und der Ukraine anvisierte. Die bösartigen E‑Mails enthielten Anhänge und Links, die auf oberflächliche Prüfung ausgelegt waren und beim Ausführen den Remcos Remote‑Access‑Trojaner (RAT) sowie den Meduza Stealer‑Payload bereitstellten. Analysten sagen, die Kampagne veranschauliche eine Hybridisierung von Spionage und finanziell motivierter Malware‑Auslieferung: Remcos ermögliche Fernsteuerung und Persistenz, während Meduza Anmeldeinformationen, Browserdaten und andere sensitive Artefakte exfiltriere, die für weitere Eindringversuche oder Monetarisierung nützlich seien. CERT‑UA und regionale Sicherheitsanbieter verfolgen Indikatoren für Kompromittierungen und raten Empfängern, unaufgeforderte, behörden‑branded Kommunikationen mit Vorsicht zu behandeln, Absenderdomains zu verifizieren und Anhänge in isolierten Umgebungen zu prüfen. Der Vorfall unterstreicht die Notwendigkeit von Multi‑Faktor‑Authentifizierung, Endpoint‑Detection und dem Austausch von Bedrohungsinformationen zwischen verbündeten Incident‑Response‑Teams. Regionale Verteidiger analysieren weiterhin die Infrastruktur der Kampagne auf Verbindungen zu bekannten Akteuren und blockieren bösartige Absenderdomains sowie Hosting‑Provider, die zur Bereitstellung der Malware genutzt wurden.