Malware PLUGGYAPE
A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA) revelou uma nova onda de operações cibernéticas direcionadas a entidades de defesa nacional. Esses ataques, observados entre outubro e dezembro de 2025, envolvem uma variante de malware até então desconhecida, denominada PLUGGYAPE. A campanha evidencia uma evolução contínua tanto nas táticas de engenharia social quanto na sofisticação técnica direcionadas a alvos ucranianos.
Índice
Atribuição e Perfil do Ator de Ameaça
A atividade foi associada, com grau moderado de certeza, a um grupo de hackers alinhado à Rússia conhecido como Void Blizzard, também chamado de Laundry Bear ou UAC-0190. Avaliações de inteligência indicam que o grupo está ativo desde pelo menos abril de 2024. Suas operações recentes demonstram um interesse específico em ambientes militares e relacionados à defesa.
Engenharia social no cerne do acesso inicial
A cadeia de infecção começa não com explorações, mas com engano. Os agentes maliciosos iniciam o contato por meio de plataformas de mensagens instantâneas amplamente confiáveis, como Signal e WhatsApp. Fingindo serem representantes de organizações de caridade, eles persuadem as vítimas a clicar em links que levam a sites humanitários falsos, incluindo domínios como harthulp-ua.com e solidarity-help.org. Esses sites se fazem passar por fundações legítimas e hospedam arquivos protegidos por senha que contêm o código malicioso.
Os atacantes dependem cada vez mais de contas comprometidas ou preparadas de forma convincente, vinculadas a operadoras de telefonia móvel ucranianas. As comunicações são realizadas em ucraniano e podem incluir chamadas de voz ou vídeo. Em muitos casos, o adversário demonstra um conhecimento detalhado da história, da organização e do contexto operacional da vítima, aumentando significativamente o sucesso da tentativa de engenharia social.
Por dentro do PLUGGYAPE: Capacidades e Evolução do Malware
Os arquivos baixados implantam um executável criado com PyInstaller, que instala o backdoor PLUGGYAPE. Escrito em Python, o malware permite que os operadores executem remotamente código arbitrário em sistemas infectados. Com o tempo, variantes mais recentes incorporaram técnicas de ofuscação mais robustas e mecanismos anti-análise projetados para impedir a execução em ambientes virtualizados ou de pesquisa.
O PLUGGYAPE se comunica com seus operadores usando conexões WebSocket e, a partir de dezembro de 2025, também oferece suporte ao protocolo MQTT, ampliando sua flexibilidade e resiliência. Esse canal de comunicação permite o controle persistente sobre hosts comprometidos e facilita a rápida execução de tarefas pelos atacantes.
Resiliência de comando e controle e segurança operacional
Em vez de incorporar os endereços do servidor de controle diretamente no malware, os operadores obtêm os endpoints de Comando e Controle de serviços públicos de compartilhamento de texto, como rentry.co e pastebin.com. Esses endereços são armazenados em formato codificado em base64, permitindo que os atacantes alterem rapidamente a infraestrutura sem precisar reimplantar o malware. Essa abordagem dificulta os esforços de desativação e aumenta a continuidade operacional caso servidores conhecidos sejam descobertos e interrompidos.
Uma mudança mais ampla em direção à entrega de ameaças baseada em mensageiros.
O CERT-UA destaca que os aplicativos de mensagens populares, tanto em dispositivos móveis quanto em computadores pessoais, estão se tornando rapidamente os principais canais de distribuição de ameaças cibernéticas. Sua onipresença, combinada com a confiança do usuário e a interação em tempo real, os torna plataformas particularmente eficazes para a entrega de ferramentas maliciosas e a manipulação de vítimas.
