PLUGGYAPE-skadlig programvara
Ukrainas insatsstyrka för datorberedskap (CERT-UA) har avslöjat en ny våg av cyberoperationer riktade mot nationella försvarsenheter. Dessa attacker, som observerades mellan oktober och december 2025, involverar en tidigare odokumenterad variant av skadlig kod kallad PLUGGYAPE. Kampanjen belyser en fortsatt utveckling av både social ingenjörskonst och teknisk sofistikering riktad mot ukrainska mål.
Innehållsförteckning
Attribuering och hotbildsprofil
Aktiviteten har med medelhög säkerhet kopplats till en ryskallierad hackargrupp känd som Void Blizzard, även kallad Laundry Bear eller UAC-0190. Underrättelsebedömningar tyder på att gruppen har varit aktiv sedan åtminstone april 2024. Deras senaste operationer visar ett fokuserat intresse för militära och försvarsrelaterade miljöer.
Social ingenjörskonst i kärnan av initial åtkomst
Infektionskedjan börjar inte med exploateringar, utan med bedrägeri. Hotaktörer initierar kontakt via allmänt betrodda snabbmeddelandeplattformar som Signal och WhatsApp. De utger sig för att vara representanter för välgörenhetsorganisationer och övertalar offer att öppna länkar som leder till falska humanitära webbplatser, inklusive domäner som harthulp-ua.com och solidarity-help.org. Dessa webbplatser utger sig för att vara legitima stiftelser och är värd för lösenordsskyddade arkiv som innehåller den skadliga nyttolasten.
Angriparna förlitar sig i allt högre grad på komprometterade eller övertygande förberedda konton kopplade till ukrainska mobiloperatörer. Kommunikation sker på ukrainska och kan inkludera röst- eller videosamtal. I många fall visar angriparen detaljerad förtrogenhet med offrets bakgrund, organisation och operativa sammanhang, vilket avsevärt ökar framgången för social ingenjörskonst.
Inuti PLUGGYAPE: Skadlig kods kapacitet och utveckling
De nedladdade arkiven använder en körbar fil byggd med PyInstaller, som installerar PLUGGYAPE-bakdörren. Den skadliga programvaran, skriven i Python, gör det möjligt för operatörer att fjärrköra godtycklig kod på infekterade system. Med tiden har nyare varianter införlivat starkare förvrängningstekniker och antianalysmekanismer utformade för att förhindra körning i virtualiserade eller forskningsmiljöer.
PLUGGYAPE kommunicerar med sina operatörer via WebSocket-anslutningar och stöder från och med december 2025 även MQTT-protokollet, vilket utökar dess flexibilitet och motståndskraft. Denna kommunikationskanal möjliggör kontinuerlig kontroll över komprometterade värdar och underlättar snabba uppgifter för angriparna.
Kommando- och kontrollmotståndskraft och operativ säkerhet
Istället för att bädda in kontrollserveradresser direkt i skadlig programvara hämtar operatörerna kommando-och-kontroll-slutpunkter från publika inklistrade tjänster som rentry.co och pastebin.com. Dessa adresser lagras i base64-kodad form, vilket gör det möjligt för angriparna att snabbt byta infrastruktur utan att omdistribuera skadlig programvara. Denna metod komplicerar borttagningsarbetet och förbättrar driftskontinuiteten om kända servrar upptäcks och störs.
En bredare förskjutning mot budbärarbaserad hotleverans
CERT-UA betonar att populära meddelandeapplikationer på både mobila enheter och persondatorer snabbt blir primära kanaler för distribution av cyberhot. Deras allestädesnärvaro, i kombination med användarnas förtroende och interaktion i realtid, gör dem särskilt effektiva plattformar för att leverera skadliga verktyg och manipulera offer.
