CERT‑UA y medios regionales señalaron una campaña de phishing (UAC‑0050) que se hace pasar por agencias gubernamentales ucranianas, que apuntó a funcionarios polacos y ucranianos y entregó Remcos RAT y Meduza Stealer. La campaña combina un objetivo al estilo de espionaje con malware de uso general para recopilar credenciales y acceso remoto.

El 8 de diciembre de 2025 las autoridades y los informes de ciberseguridad detallaron una campaña de phishing dirigida rastreada como UAC‑0050 que se hacía pasar por agencias gubernamentales ucranianas y tenía como objetivo a destinatarios en Polonia y Ucrania. Los correos electrónicos maliciosos contenían archivos adjuntos y enlaces diseñados para eludir una inspección somera y, al ejecutarse, desplegaban el troyano de acceso remoto (RAT) Remcos y las cargas útiles del Meduza Stealer. Los analistas indican que la campaña ilustra una hibridación de espionaje y entrega de malware con motivación financiera: Remcos proporciona control remoto y persistencia, mientras que Meduza exfiltra credenciales, datos del navegador y otros artefactos sensibles útiles para intrusiones posteriores o monetización. CERT‑UA y proveedores de seguridad regionales están rastreando indicadores de compromiso y aconsejan a los destinatarios tratar las comunicaciones no solicitadas con marcas de agencias con precaución, verificar los dominios de los remitentes e inspeccionar los archivos adjuntos en entornos aislados. El incidente refuerza la necesidad de autenticación multifactor, detección en endpoints y el intercambio de inteligencia de amenazas entre equipos aliados de respuesta a incidentes. Los defensores regionales siguen analizando la infraestructura de la campaña en busca de vínculos con operadores conocidos y bloqueando dominios de remitentes maliciosos y proveedores de alojamiento utilizados para montar el malware.