Programari maliciós PLUGGYAPE
L'Equip de Resposta a Emergències Informàtiques d'Ucraïna (CERT-UA) ha revelat una nova onada d'operacions cibernètiques dirigides a entitats de defensa nacional. Aquests atacs, observats entre octubre i desembre de 2025, impliquen una soca de programari maliciós no documentada prèviament anomenada PLUGGYAPE. La campanya destaca una evolució contínua tant de les tàctiques d'enginyeria social com de la sofisticació tècnica dirigida contra objectius ucraïnesos.
Taula de continguts
Atribució i perfil d’actor d’amenaces
L'activitat s'ha relacionat, amb una confiança mitjana, amb un grup de pirates informàtics alineat amb Rússia conegut com a Void Blizzard, també anomenat Laundry Bear o UAC-0190. Les avaluacions d'intel·ligència indiquen que el grup ha estat actiu des d'almenys l'abril de 2024. Les seves operacions recents demostren un interès centrat en entorns militars i relacionats amb la defensa.
L’enginyeria social al centre de l’accés inicial
La cadena d'infecció no comença amb exploits, sinó amb enganys. Els actors amenaçadors inicien el contacte a través de plataformes de missatgeria instantània de gran confiança com ara Signal i WhatsApp. Fent-se passar per representants d'organitzacions benèfiques, persuadeixen les víctimes perquè obrin enllaços que condueixen a llocs web humanitaris falsos, inclosos dominis com ara harthulp-ua.com i solidarity-help.org. Aquests llocs suplanten fundacions legítimes i allotgen arxius protegits per contrasenya que contenen la càrrega útil maliciosa.
Els atacants confien cada cop més en comptes compromesos o preparats de manera convincent vinculats a operadors mòbils ucraïnesos. Les comunicacions es duen a terme en ucraïnès i poden incloure trucades de veu o vídeo. En molts casos, l'adversari demostra una familiaritat detallada amb els antecedents, l'organització i el context operatiu de la víctima, cosa que augmenta significativament l'èxit de l'esforç d'enginyeria social.
Dins de PLUGGYAPE: Capacitats i evolució del programari maliciós
Els arxius descarregats despleguen un executable creat amb PyInstaller, que instal·la la porta del darrere PLUGGYAPE. Escrit en Python, el programari maliciós permet als operadors executar codi arbitrari de forma remota en sistemes infectats. Amb el temps, les variants més noves han incorporat tècniques d'ofuscació més fortes i mecanismes antianàlisi dissenyats per evitar l'execució en entorns virtualitzats o de recerca.
PLUGGYAPE es comunica amb els seus operadors mitjançant connexions WebSocket i, a partir del desembre de 2025, també admet el protocol MQTT, cosa que amplia la seva flexibilitat i resiliència. Aquest canal de comunicació permet un control persistent sobre els hosts compromesos i facilita l'execució ràpida de tasques per part dels atacants.
Resiliència de comandament i control i seguretat operativa
En lloc d'inserir les adreces del servidor de control directament al programari maliciós, els operadors recuperen els punts finals de comandament i control de serveis públics de paste com ara rentry.co i pastebin.com. Aquestes adreces s'emmagatzemen en format codificat en base64, cosa que permet als atacants canviar ràpidament la infraestructura sense tornar a desplegar el programari maliciós. Aquest enfocament complica els esforços de supressió i millora la continuïtat operativa si es descobreixen i s'interrompen servidors coneguts.
Un canvi més ampli cap al lliurament d’amenaces basat en missatgeria
El CERT-UA emfatitza que les aplicacions de missatgeria populars, tant en dispositius mòbils com en ordinadors personals, s'estan convertint ràpidament en els canals principals per a la distribució d'amenaces cibernètiques. La seva ubiqüitat, combinada amb la confiança dels usuaris i la interacció en temps real, les converteix en plataformes particularment efectives per distribuir eines malicioses i manipular les víctimes.
