بدافزار PLUGGYAPE

تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) موج جدیدی از عملیات سایبری را که نهادهای دفاعی ملی را هدف قرار داده است، آشکار کرد. این حملات که بین اکتبر و دسامبر 2025 مشاهده شده‌اند، شامل گونه‌ای از بدافزار به نام PLUGGYAPE هستند که قبلاً مستند نشده بود. این کمپین، تکامل مداوم در تاکتیک‌های مهندسی اجتماعی و پیچیدگی فنی علیه اهداف اوکراینی را برجسته می‌کند.

نسبت دادن و مشخصات عامل تهدید

این فعالیت، با اطمینان متوسط، به یک گروه هکری وابسته به روسیه به نام Void Blizzard که با نام Laundry Bear یا UAC-0190 نیز شناخته می‌شود، مرتبط دانسته شده است. ارزیابی‌های اطلاعاتی نشان می‌دهد که این گروه حداقل از آوریل ۲۰۲۴ فعال بوده است. عملیات اخیر آنها نشان‌دهنده علاقه متمرکز آنها به محیط‌های نظامی و دفاعی است.

مهندسی اجتماعی در هسته دسترسی اولیه

زنجیره آلودگی نه با سوءاستفاده، بلکه با فریب آغاز می‌شود. عاملان تهدید از طریق پلتفرم‌های پیام‌رسان فوری معتبر مانند سیگنال و واتس‌اپ ارتباط برقرار می‌کنند. آن‌ها خود را به عنوان نمایندگان سازمان‌های خیریه جا می‌زنند و قربانیان را متقاعد می‌کنند تا لینک‌هایی را که به وب‌سایت‌های بشردوستانه جعلی، از جمله دامنه‌هایی مانند harthulp-ua.com و correlation-help.org، منتهی می‌شوند، باز کنند. این سایت‌ها خود را به جای بنیادهای قانونی جا می‌زنند و میزبان آرشیوهای محافظت‌شده با رمز عبور هستند که حاوی محتوای مخرب هستند.

مهاجمان به طور فزاینده‌ای به حساب‌های کاربری هک شده یا به طور متقاعدکننده‌ای آماده شده که به اپراتورهای تلفن همراه اوکراینی مرتبط هستند، تکیه می‌کنند. ارتباطات به زبان اوکراینی انجام می‌شود و ممکن است شامل تماس‌های صوتی یا تصویری باشد. در بسیاری از موارد، مهاجم آشنایی دقیقی با پیشینه، سازمان و زمینه عملیاتی قربانی نشان می‌دهد که به طور قابل توجهی موفقیت تلاش‌های مهندسی اجتماعی را افزایش می‌دهد.

درون PLUGGYAPE: قابلیت‌ها و تکامل بدافزارها

آرشیوهای دانلود شده یک فایل اجرایی ساخته شده با PyInstaller را اجرا می‌کنند که درب پشتی PLUGGYAPE را نصب می‌کند. این بدافزار که به زبان پایتون نوشته شده است، به اپراتورها این امکان را می‌دهد که از راه دور کد دلخواه را روی سیستم‌های آلوده اجرا کنند. با گذشت زمان، انواع جدیدتر آن تکنیک‌های مبهم‌سازی قوی‌تر و مکانیسم‌های ضد تجزیه و تحلیل را در خود جای داده‌اند که برای جلوگیری از اجرا در محیط‌های مجازی یا تحقیقاتی طراحی شده‌اند.

PLUGGYAPE با استفاده از اتصالات WebSocket با اپراتورهای خود ارتباط برقرار می‌کند و از دسامبر ۲۰۲۵، از پروتکل MQTT نیز پشتیبانی می‌کند و انعطاف‌پذیری و مقاومت خود را گسترش می‌دهد. این کانال ارتباطی امکان کنترل مداوم بر میزبان‌های آسیب‌دیده را فراهم می‌کند و انجام سریع وظایف توسط مهاجمان را تسهیل می‌کند.

انعطاف‌پذیری فرماندهی و کنترل و امنیت عملیاتی

به جای اینکه آدرس‌های سرور کنترل را مستقیماً در بدافزار جاسازی کنند، اپراتورها نقاط پایانی فرمان و کنترل را از سرویس‌های عمومی paste مانند rentry.co و pastebin.com بازیابی می‌کنند. این آدرس‌ها به صورت رمزگذاری شده base64 ذخیره می‌شوند و به مهاجمان این امکان را می‌دهند که بدون نیاز به استقرار مجدد بدافزار، به سرعت زیرساخت را تغییر دهند. این رویکرد، تلاش‌های حذف را پیچیده می‌کند و در صورت کشف و اختلال در سرورهای شناخته شده، تداوم عملیاتی را افزایش می‌دهد.

تغییر گسترده‌تر به سمت ارائه تهدید مبتنی بر پیام‌رسان

CERT-UA تأکید می‌کند که برنامه‌های پیام‌رسان محبوب در دستگاه‌های تلفن همراه و رایانه‌های شخصی به سرعت در حال تبدیل شدن به کانال‌های اصلی توزیع تهدیدات سایبری هستند. فراگیری آنها، همراه با اعتماد کاربر و تعامل در لحظه، آنها را به پلتفرم‌های بسیار مؤثری برای ارائه ابزارهای مخرب و دستکاری قربانیان تبدیل می‌کند.