CERT‑UA et des médias régionaux ont signalé une campagne de phishing (UAC‑0050) se faisant passer pour des agences gouvernementales ukrainiennes, qui visait des responsables polonais et ukrainiens et a livré Remcos RAT et Meduza Stealer. La campagne mêle un ciblage de type espionnage à des logiciels malveillants grand public pour récolter des identifiants et l'accès à distance.

Le 8 déc. 2025, les autorités de cybersécurité et des rapports ont détaillé une campagne de phishing ciblée suivie sous la désignation UAC‑0050 qui usurpait des agences gouvernementales ukrainiennes et visait des destinataires en Pologne et en Ukraine. Les courriels malveillants contenaient des pièces jointes et des liens conçus pour contourner une inspection sommaire et, une fois exécutés, déployaient le cheval de Troie d'accès à distance Remcos (RAT) et les charges utiles Meduza Stealer. Les analystes indiquent que la campagne illustre une hybridation de l'espionnage et de la distribution de logiciels malveillants à motivation financière : Remcos assure le contrôle à distance et la persistance, tandis que Meduza exfiltre des identifiants, des données de navigateurs et d'autres artefacts sensibles utiles pour une intrusion ultérieure ou la monétisation. Le CERT‑UA et des fournisseurs de sécurité régionaux suivent les indicateurs de compromission et conseillent aux destinataires de traiter avec prudence les communications non sollicitées au nom d'agences, de vérifier les domaines des expéditeurs et d'inspecter les pièces jointes dans des environnements isolés. L'incident renforce la nécessité d'une authentification multifactorielle, de la détection des points de terminaison et du partage du renseignement sur les menaces entre équipes d'intervention alliées. Les défenseurs régionaux continuent d'analyser l'infrastructure de la campagne pour y déceler des liens avec des opérateurs connus et bloquer les domaines d'expéditeurs malveillants et les fournisseurs d'hébergement utilisés pour héberger les logiciels malveillants.