PLUGGYAPE-malware
Het Oekraïense Computer Emergency Response Team (CERT-UA) heeft een nieuwe golf cyberaanvallen op nationale defensie-instanties aan het licht gebracht. Deze aanvallen, die tussen oktober en december 2025 plaatsvonden, maakten gebruik van een voorheen onbekende variant van malware genaamd PLUGGYAPE. De campagne benadrukt de voortdurende evolutie in zowel social engineering-tactieken als technische verfijning die gericht zijn tegen Oekraïense doelen.
Inhoudsopgave
Attributie en profiel van de dreigingsactor
De activiteiten worden met redelijke zekerheid in verband gebracht met een aan Rusland gelieerde hackergroep genaamd Void Blizzard, ook wel bekend als Laundry Bear of UAC-0190. Inlichtingenrapporten wijzen erop dat de groep minstens sinds april 2024 actief is. Hun recente operaties tonen een gerichte interesse in militaire en defensiegerelateerde omgevingen.
Sociale manipulatie als kern van de eerste toegang
De infectieketen begint niet met exploits, maar met misleiding. Kwaadwillenden leggen contact via veelgebruikte instant messaging-platforms zoals Signal en WhatsApp. Ze doen zich voor als vertegenwoordigers van liefdadigheidsorganisaties en overtuigen slachtoffers om links te openen naar nepwebsites van humanitaire organisaties, waaronder domeinen als harthulp-ua.com en solidarity-help.org. Deze sites doen zich voor als legitieme stichtingen en bevatten met een wachtwoord beveiligde archieven met de schadelijke software.
De aanvallers maken steeds vaker gebruik van gehackte of overtuigend voorbereide accounts die gekoppeld zijn aan Oekraïense mobiele operators. De communicatie vindt plaats in het Oekraïens en kan spraak- of videogesprekken omvatten. In veel gevallen tonen de aanvallers gedetailleerde kennis van de achtergrond, organisatie en operationele context van het slachtoffer, wat de kans op succes van de social engineering-aanval aanzienlijk vergroot.
Binnenin PLUGGYAPE: mogelijkheden en evolutie van malware
De gedownloade archieven bevatten een uitvoerbaar bestand dat is gemaakt met PyInstaller en dat de PLUGGYAPE-backdoor installeert. De malware, geschreven in Python, stelt beheerders in staat om op afstand willekeurige code uit te voeren op geïnfecteerde systemen. In de loop der tijd hebben nieuwere varianten sterkere obfuscatietechnieken en anti-analysemechanismen geïntegreerd om uitvoering in gevirtualiseerde of onderzoeksomgevingen te voorkomen.
PLUGGYAPE communiceert met zijn beheerders via WebSocket-verbindingen en ondersteunt sinds december 2025 ook het MQTT-protocol, wat de flexibiliteit en veerkracht vergroot. Dit communicatiekanaal maakt permanente controle over gecompromitteerde hosts mogelijk en vergemakkelijkt het snel uitvoeren van taken door de aanvallers.
Command-and-control-veerkracht en operationele beveiliging
In plaats van de adressen van de controleservers direct in de malware te verwerken, halen de aanvallers de Command-and-Control-eindpunten op van openbare paste-services zoals rentry.co en pastebin.com. Deze adressen worden opgeslagen in base64-gecodeerde vorm, waardoor de aanvallers snel van infrastructuur kunnen wisselen zonder de malware opnieuw te hoeven implementeren. Deze aanpak bemoeilijkt het uitschakelen van de malware en verbetert de operationele continuïteit als bekende servers worden ontdekt en verstoord.
Een bredere verschuiving naar op messengers gebaseerde dreigingslevering
CERT-UA benadrukt dat populaire berichtenapps op zowel mobiele apparaten als pc's snel de belangrijkste kanalen worden voor de verspreiding van cyberdreigingen. Hun alomtegenwoordigheid, in combinatie met het vertrouwen van gebruikers en de realtime interactie, maakt ze bijzonder effectieve platforms voor het verspreiden van kwaadaardige software en het manipuleren van slachtoffers.
