PLUGGYAPE Злонамерни софтвер
Украјински тим за реаговање на компјутерске ванредне ситуације (CERT-UA) открио је нови талас сајбер операција усмерених на националне одбрамбене структуре. Ови напади, примећени између октобра и децембра 2025. године, укључују раније недокументовани сој злонамерног софтвера назван PLUGGYAPE. Кампања истиче континуирану еволуцију и тактика социјалног инжењеринга и техничке софистицираности усмерене против украјинских мета.
Преглед садржаја
Профил атрибуције и актера претње
Активност је, са средњом сигурношћу, повезана са руском хакерском групом познатом као Void Blizzard, такође познатом као Laundry Bear или UAC-0190. Обавештајне процене указују да је група активна најмање од априла 2024. Њихове недавне операције показују усмерено интересовање за војна и одбрамбена окружења.
Социјални инжењеринг у сржи почетног приступа
Ланац инфекције не почиње експлоатацијама, већ обманом. Претње успостављају контакт путем широко поузданих платформи за инстант поруке као што су Signal и WhatsApp. Представљајући се као представници добротворних организација, они убеђују жртве да отворе линкове који воде до лажних хуманитарних веб страница, укључујући домене попут harthulp-ua.com и solidarity-help.org. Ове странице се представљају као легитимне фондације и хостују архиве заштићене лозинком које садрже злонамерни садржај.
Нападачи се све више ослањају на компромитоване или убедљиво припремљене налоге повезане са украјинским мобилним оператерима. Комуникација се одвија на украјинском језику и може укључивати гласовне или видео позиве. У многим случајевима, противник показује детаљно познавање прошлости, организације и оперативног контекста жртве, што значајно повећава успех напора социјалног инжењеринга.
Унутар PLUGGYAPE-а: Могућности и еволуција злонамерног софтвера
Преузете архиве инсталирају извршну датотеку направљену помоћу PyInstaller-а, која инсталира PLUGGYAPE бекдор. Написан у Пајтону, злонамерни софтвер омогућава оператерима да даљински покрећу произвољни код на зараженим системима. Временом, новије варијанте су укључиле јаче технике обфускације и механизме анти-аналитике дизајниране да спрече извршавање у виртуелизованим или истраживачким окружењима.
PLUGGYAPE комуницира са својим оператерима користећи WebSocket конекције и, од децембра 2025. године, такође подржава MQTT протокол, проширујући његову флексибилност и отпорност. Овај комуникациони канал омогућава сталну контролу над угроженим хостовима и олакшава брзо обављање задатака од стране нападача.
Отпорност командовања и контроле и оперативна безбедност
Уместо да директно уграђују адресе контролних сервера у злонамерни софтвер, оператери преузимају крајње тачке команде и контроле (Command-and-Control) из јавних сервиса за лепљење, као што су rentry.co и pastebin.com. Ове адресе се чувају у base64 кодираном облику, што омогућава нападачима да брзо промене инфраструктуру без поновног распоређивања злонамерног софтвера. Овај приступ компликује напоре уклањања и побољшава оперативни континуитет ако се познати сервери открију и поремете.
Шира промена ка испоруци претњи путем месинџера
CERT-UA наглашава да популарне апликације за размену порука, како на мобилним уређајима тако и на персоналним рачунарима, брзо постају примарни канали за дистрибуцију сајбер претњи. Њихова свеприсутност, у комбинацији са поверењем корисника и интеракцијом у реалном времену, чини их посебно ефикасним платформама за испоруку злонамерних алата и манипулацију жртвама.
