PLUGGYAPE-malware
Ukraines computerberedskabsteam (CERT-UA) har afsløret en ny bølge af cyberoperationer rettet mod nationale forsvarsenheder. Disse angreb, der blev observeret mellem oktober og december 2025, involverer en tidligere udokumenteret stamme af malware kaldet PLUGGYAPE. Kampagnen fremhæver en fortsat udvikling inden for både social engineering-taktikker og teknisk sofistikering rettet mod ukrainske mål.
Indholdsfortegnelse
Attribuering og trusselsaktørprofil
Aktiviteten er med middel sikkerhed blevet forbundet med en russisk-allieret hackergruppe kendt som Void Blizzard, også kaldet Laundry Bear eller UAC-0190. Efterretningsvurderinger tyder på, at gruppen har været aktiv siden mindst april 2024. Deres seneste operationer viser en fokuseret interesse i militære og forsvarsrelaterede miljøer.
Social Engineering er kernen i den indledende adgang
Infektionskæden starter ikke med udnyttelser, men med bedrag. Trusselaktører initierer kontakt via bredt betroede instant messaging-platforme som Signal og WhatsApp. De udgiver sig for at være repræsentanter for velgørende organisationer og overtaler ofrene til at åbne links, der fører til falske humanitære websteder, herunder domæner som harthulp-ua.com og solidarity-help.org. Disse websteder udgiver sig for at være legitime fonde og er vært for adgangskodebeskyttede arkiver, der indeholder den ondsindede nyttelast.
Angriberne benytter i stigende grad kompromitterede eller overbevisende konti, der er knyttet til ukrainske mobiloperatører. Kommunikation foregår på ukrainsk og kan omfatte tale- eller videoopkald. I mange tilfælde udviser modstanderen detaljeret kendskab til offerets baggrund, organisation og operationelle kontekst, hvilket øger succesen af social engineering-indsatsen betydeligt.
Inde i PLUGGYAPE: Malware-funktioner og udvikling
De downloadede arkiver installerer en eksekverbar fil bygget med PyInstaller, som installerer PLUGGYAPE-bagdøren. Malwaren, der er skrevet i Python, gør det muligt for operatører at køre vilkårlig kode eksternt på inficerede systemer. Over tid har nyere varianter inkorporeret stærkere obfuskeringsteknikker og antianalysemekanismer designet til at forhindre udførelse i virtualiserede eller forskningsmiljøer.
PLUGGYAPE kommunikerer med sine operatører ved hjælp af WebSocket-forbindelser og understøtter fra december 2025 også MQTT-protokollen, hvilket udvider dens fleksibilitet og robusthed. Denne kommunikationskanal giver vedvarende kontrol over kompromitterede værter og letter hurtig opgaver for angriberne.
Kommando- og kontrolmodstandsdygtighed og operationel sikkerhed
I stedet for at integrere kontrolserveradresser direkte i malwaren, henter operatørerne Command-and-Control-slutpunkter fra offentlige indsættelsestjenester som rentry.co og pastebin.com. Disse adresser gemmes i base64-kodet form, hvilket gør det muligt for angriberne hurtigt at ændre infrastrukturen uden at skulle omimplementere malwaren. Denne tilgang komplicerer fjernelsesbestræbelserne og forbedrer driftskontinuiteten, hvis kendte servere opdages og afbrydes.
Et bredere skift mod messengerbaseret trusselslevering
CERT-UA understreger, at populære beskedapplikationer på både mobile enheder og personlige computere hurtigt er ved at blive primære kanaler for distribution af cybertrusler. Deres allestedsnærværelse, kombineret med brugertillid og interaktion i realtid, gør dem til særligt effektive platforme til at levere ondsindede værktøjer og manipulere ofre.
