Oprogramowanie złośliwe PLUGGYAPE
Ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) ujawnił nową falę cyberoperacji wymierzonych w jednostki obrony narodowej. Ataki te, zaobserwowane między październikiem a grudniem 2025 roku, dotyczą nieudokumentowanego wcześniej szczepu złośliwego oprogramowania o nazwie PLUGGYAPE. Kampania ta uwydatnia ciągłą ewolucję zarówno taktyk socjotechnicznych, jak i zaawansowania technicznego wymierzonego w ukraińskie cele.
Spis treści
Atrybucja i profil podmiotu stanowiącego zagrożenie
Aktywność ta została powiązana, z umiarkowanym prawdopodobieństwem, z rosyjską grupą hakerską znaną jako Void Blizzard, znaną również jako Laundry Bear lub UAC-0190. Oceny wywiadowcze wskazują, że grupa działa co najmniej od kwietnia 2024 roku. Jej ostatnie działania wskazują na skoncentrowane zainteresowanie środowiskami wojskowymi i obronnymi.
Inżynieria społeczna w centrum początkowego dostępu
Łańcuch infekcji zaczyna się nie od exploitów, ale od oszustwa. Aktorzy zagrożeń inicjują kontakt za pośrednictwem powszechnie zaufanych komunikatorów internetowych, takich jak Signal i WhatsApp. Podszywając się pod przedstawicieli organizacji charytatywnych, nakłaniają ofiary do otwierania linków prowadzących do fałszywych stron internetowych organizacji humanitarnych, w tym domen takich jak harthulp-ua.com i solidary-help.org. Strony te podszywają się pod legalne fundacje i przechowują chronione hasłem archiwa zawierające złośliwy kod.
Atakujący coraz częściej opierają się na przejętych lub przekonująco spreparowanych kontach powiązanych z ukraińskimi operatorami komórkowymi. Komunikacja odbywa się w języku ukraińskim i może obejmować połączenia głosowe lub wideo. W wielu przypadkach atakujący wykazuje szczegółową znajomość przeszłości, organizacji i kontekstu operacyjnego ofiary, co znacznie zwiększa skuteczność ataku socjotechnicznego.
Wewnątrz PLUGGYAPE: możliwości i ewolucja złośliwego oprogramowania
Pobrane archiwa uruchamiają plik wykonywalny utworzony za pomocą PyInstaller, który instaluje backdoora PLUGGYAPE. Napisane w Pythonie, złośliwe oprogramowanie umożliwia operatorom zdalne uruchamianie dowolnego kodu w zainfekowanych systemach. Z czasem nowsze warianty zostały wzbogacone o silniejsze techniki zaciemniania kodu i mechanizmy antyanalizy, mające na celu uniemożliwienie wykonania kodu w środowiskach zwirtualizowanych lub badawczych.
PLUGGYAPE komunikuje się ze swoimi operatorami za pomocą połączeń WebSocket, a od grudnia 2025 roku obsługuje również protokół MQTT, co zwiększa jego elastyczność i odporność. Ten kanał komunikacji umożliwia stałą kontrolę nad zainfekowanymi hostami i ułatwia atakującym szybkie przydzielanie zadań.
Odporność i bezpieczeństwo operacyjne w zakresie dowodzenia i kontroli
Zamiast osadzać adresy serwerów sterujących bezpośrednio w złośliwym oprogramowaniu, operatorzy pobierają punkty końcowe Command-and-Control z publicznych usług wklejania, takich jak rentry.co i pastebin.com. Adresy te są przechowywane w postaci zakodowanej w formacie base64, co umożliwia atakującym szybką zmianę infrastruktury bez konieczności ponownego wdrażania złośliwego oprogramowania. Takie podejście komplikuje działania likwidacyjne i poprawia ciągłość operacyjną w przypadku wykrycia i zakłócenia działania znanych serwerów.
Szersze przejście na dostarczanie zagrożeń za pomocą komunikatorów
CERT-UA podkreśla, że popularne aplikacje do przesyłania wiadomości, zarówno na urządzeniach mobilnych, jak i komputerach osobistych, szybko stają się głównymi kanałami dystrybucji cyberzagrożeń. Ich wszechobecność, w połączeniu z zaufaniem użytkowników i interakcją w czasie rzeczywistym, czyni je szczególnie skutecznymi platformami do dostarczania złośliwych narzędzi i manipulowania ofiarami.
