Malware PLUGGYAPE
Il Computer Emergency Response Team (CERT-UA) dell'Ucraina ha rivelato una nuova ondata di operazioni informatiche mirate a enti di difesa nazionale. Questi attacchi, osservati tra ottobre e dicembre 2025, coinvolgono un ceppo di malware precedentemente non documentato denominato PLUGGYAPE. La campagna evidenzia una continua evoluzione sia nelle tattiche di ingegneria sociale che nella sofisticatezza tecnica diretta contro obiettivi ucraini.
Sommario
Attribuzione e profilo dell’attore della minaccia
L'attività è stata collegata, con un livello di sicurezza medio, a un gruppo di hacker filorusso noto come Void Blizzard, noto anche come Laundry Bear o UAC-0190. Le valutazioni dell'intelligence indicano che il gruppo è attivo almeno da aprile 2024. Le sue recenti operazioni dimostrano un interesse specifico per gli ambienti militari e di difesa.
L’ingegneria sociale al centro dell’accesso iniziale
La catena di infezione non inizia con gli exploit, ma con l'inganno. Gli autori delle minacce avviano il contatto tramite piattaforme di messaggistica istantanea ampiamente affidabili come Signal e WhatsApp. Fingendosi rappresentanti di organizzazioni benefiche, convincono le vittime ad aprire link che portano a falsi siti web umanitari, inclusi domini come harthulp-ua.com e solidarity-help.org. Questi siti impersonano fondazioni legittime e ospitano archivi protetti da password che contengono il payload dannoso.
Gli aggressori si affidano sempre più spesso ad account compromessi o preparati in modo convincente, collegati ad operatori di telefonia mobile ucraini. Le comunicazioni avvengono in ucraino e possono includere chiamate vocali o video. In molti casi, l'aggressore dimostra una conoscenza approfondita del background, dell'organizzazione e del contesto operativo della vittima, aumentando significativamente il successo dell'operazione di ingegneria sociale.
Dentro PLUGGYAPE: capacità ed evoluzione del malware
Gli archivi scaricati distribuiscono un eseguibile creato con PyInstaller, che installa la backdoor PLUGGYAPE. Scritto in Python, il malware consente agli operatori di eseguire da remoto codice arbitrario sui sistemi infetti. Nel tempo, le varianti più recenti hanno incorporato tecniche di offuscamento più efficaci e meccanismi anti-analisi progettati per impedirne l'esecuzione in ambienti virtualizzati o di ricerca.
PLUGGYAPE comunica con i suoi operatori tramite connessioni WebSocket e, da dicembre 2025, supporta anche il protocollo MQTT, ampliandone la flessibilità e la resilienza. Questo canale di comunicazione consente un controllo persistente sugli host compromessi e facilita l'esecuzione rapida delle attività da parte degli aggressori.
Resilienza del comando e controllo e sicurezza operativa
Invece di incorporare gli indirizzi dei server di controllo direttamente nel malware, gli operatori recuperano gli endpoint di comando e controllo da servizi di paste pubblici come rentry.co e pastebin.com. Questi indirizzi vengono memorizzati in formato codificato Base64, consentendo agli aggressori di modificare rapidamente l'infrastruttura senza dover ridistribuire il malware. Questo approccio complica le operazioni di rimozione e migliora la continuità operativa in caso di rilevamento e interruzione di server noti.
Un passaggio più ampio verso la distribuzione delle minacce basata su Messenger
CERT-UA sottolinea che le applicazioni di messaggistica più diffuse, sia su dispositivi mobili che su personal computer, stanno rapidamente diventando canali primari per la distribuzione di minacce informatiche. La loro onnipresenza, unita alla fiducia degli utenti e all'interazione in tempo reale, le rende piattaforme particolarmente efficaci per la distribuzione di strumenti dannosi e la manipolazione delle vittime.
