Programe malware PLUGGYAPE
Echipa de intervenție în caz de urgență informatică (CERT-UA) a Ucrainei a dezvăluit un nou val de operațiuni cibernetice care vizează entități de apărare națională. Aceste atacuri, observate între octombrie și decembrie 2025, implică o tulpină de malware nedocumentată anterior, denumită PLUGGYAPE. Campania evidențiază o evoluție continuă atât a tacticilor de inginerie socială, cât și a sofisticării tehnice îndreptate împotriva țintelor ucrainene.
Cuprins
Atribuire și profilul actorului amenințător
Activitatea a fost legată, cu o încredere medie, de un grup de hackeri aliniat cu Rusia, cunoscut sub numele de Void Blizzard, denumit și Laundry Bear sau UAC-0190. Evaluările serviciilor de informații indică faptul că grupul este activ cel puțin din aprilie 2024. Operațiunile lor recente demonstrează un interes concentrat pentru mediile militare și legate de apărare.
Ingineria socială în centrul accesului inițial
Lanțul de infectare nu începe cu exploit-uri, ci cu înșelăciune. Actorii amenințători inițiază contactul prin intermediul unor platforme de mesagerie instantanee de încredere, cum ar fi Signal și WhatsApp. Dându-se drept reprezentanți ai unor organizații caritabile, aceștia conving victimele să deschidă link-uri care duc către site-uri web umanitare false, inclusiv domenii precum harthulp-ua.com și solidarity-help.org. Aceste site-uri se dau drept fundații legitime și găzduiesc arhive protejate prin parolă care conțin conținutul malițios.
Atacatorii se bazează din ce în ce mai mult pe conturi compromise sau pregătite în mod convingător, legate de operatori de telefonie mobilă ucraineni. Comunicările se desfășoară în limba ucraineană și pot include apeluri vocale sau video. În multe cazuri, adversarul demonstrează o familiaritate detaliată cu trecutul, organizația și contextul operațional al victimei, crescând semnificativ succesul efortului de inginerie socială.
În interiorul PLUGGYAPE: Capacități și evoluție a programelor malware
Arhivele descărcate implementează un executabil construit cu PyInstaller, care instalează backdoor-ul PLUGGYAPE. Scris în Python, malware-ul permite operatorilor să ruleze de la distanță cod arbitrar pe sistemele infectate. De-a lungul timpului, variantele mai noi au încorporat tehnici de ofuscare mai puternice și mecanisme anti-analiză concepute pentru a preveni execuția în medii virtualizate sau de cercetare.
PLUGGYAPE comunică cu operatorii săi folosind conexiuni WebSocket și, din decembrie 2025, acceptă și protocolul MQTT, extinzându-i flexibilitatea și rezistența. Acest canal de comunicație permite controlul persistent asupra gazdelor compromise și facilitează intervenția rapidă a atacatorilor.
Reziliență de comandă și control și securitate operațională
În loc să integreze adresele serverelor de control direct în malware, operatorii preiau endpoint-uri de comandă și control din servicii publice de paste, cum ar fi rentry.co și pastebin.com. Aceste adrese sunt stocate în formă codificată base64, permițând atacatorilor să modifice rapid infrastructura fără a redistribui malware-ul. Această abordare complică eforturile de eliminare și îmbunătățește continuitatea operațională dacă serverele cunoscute sunt descoperite și întrerupte.
O trecere mai amplă către transmiterea amenințărilor prin mesagerie
CERT-UA subliniază faptul că aplicațiile de mesagerie populare, atât pe dispozitivele mobile, cât și pe computerele personale, devin rapid canale principale pentru distribuirea amenințărilor cibernetice. Omniprezența lor, combinată cu încrederea utilizatorilor și interacțiunea în timp real, le face platforme deosebit de eficiente pentru distribuirea de instrumente rău intenționate și manipularea victimelor.
