CERT‑UA e veículos regionais sinalizaram uma campanha de phishing (UAC‑0050) se passando por agências governamentais ucranianas que teve como alvo funcionários poloneses e ucranianos e entregou o Remcos RAT e o Meduza Stealer. A campanha combina um direcionamento ao estilo de espionagem com malware commodity para coletar credenciais e acesso remoto.

Em 8 de dezembro de 2025, autoridades de cibersegurança e relatórios detalharam uma campanha de phishing direcionada rastreada como UAC‑0050 que personificava órgãos governamentais ucranianos e tinha como alvo destinatários na Polônia e na Ucrânia. Os e‑mails maliciosos continham anexos e links projetados para burlar inspeções superficiais e, quando executados, implantavam o trojan de acesso remoto Remcos (RAT) e cargas úteis do Meduza Stealer. Analistas afirmam que a campanha ilustra uma hibridização de espionagem e entrega de malware com motivação financeira: o Remcos fornece controle remoto e persistência, enquanto o Meduza exfiltra credenciais, dados de navegadores e outros artefatos sensíveis úteis para intrusões posteriores ou monetização. CERT‑UA e fornecedores regionais de segurança estão monitorando indicadores de comprometimento e aconselham os destinatários a tratar comunicações não solicitadas com marca de agências com cautela, verificar domínios dos remetentes e inspecionar anexos em ambientes isolados. O incidente reforça a necessidade de autenticação multifator, detecção em endpoints e compartilhamento de inteligência sobre ameaças entre equipes de resposta a incidentes aliadas. Defensores regionais continuam a analisar a infraestrutura da campanha em busca de vínculos com operadores conhecidos e a bloquear domínios de remetentes maliciosos e provedores de hospedagem usados para alavancar o malware.