Phần mềm độc hại PLUGGYAPE
Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã tiết lộ một làn sóng tấn công mạng mới nhắm vào các cơ quan quốc phòng. Các cuộc tấn công này, được quan sát thấy từ tháng 10 đến tháng 12 năm 2025, liên quan đến một loại phần mềm độc hại chưa từng được ghi nhận trước đây có tên là PLUGGYAPE. Chiến dịch này cho thấy sự phát triển không ngừng cả về chiến thuật kỹ thuật xã hội và sự tinh vi về mặt kỹ thuật nhằm vào các mục tiêu của Ukraine.
Mục lục
Thông tin về tác nhân gây ra mối đe dọa và hồ sơ tác nhân đó
Hoạt động này được cho là có liên quan, với độ tin cậy trung bình, đến một nhóm tin tặc thân Nga có tên là Void Blizzard, hay còn được gọi là Laundry Bear hoặc UAC-0190. Các đánh giá tình báo cho thấy nhóm này đã hoạt động ít nhất từ tháng 4 năm 2024. Các hoạt động gần đây của chúng cho thấy sự quan tâm tập trung vào môi trường quân sự và quốc phòng.
Kỹ thuật thao túng tâm lý là cốt lõi của việc tiếp cận ban đầu.
Chuỗi lây nhiễm bắt đầu không phải bằng các lỗ hổng bảo mật, mà bằng sự lừa dối. Các tác nhân đe dọa bắt đầu liên lạc thông qua các nền tảng nhắn tin tức thời được nhiều người tin dùng như Signal và WhatsApp. Giả danh đại diện của các tổ chức từ thiện, chúng thuyết phục nạn nhân mở các liên kết dẫn đến các trang web nhân đạo giả mạo, bao gồm các tên miền như harthulp-ua.com và solidarity-help.org. Những trang web này mạo danh các tổ chức từ thiện hợp pháp và lưu trữ các tệp tin được bảo vệ bằng mật khẩu chứa mã độc.
Các đối tượng tấn công ngày càng dựa vào các tài khoản bị xâm nhập hoặc được chuẩn bị kỹ lưỡng có liên kết với các nhà mạng di động Ukraine. Việc liên lạc được thực hiện bằng tiếng Ukraina và có thể bao gồm các cuộc gọi thoại hoặc video. Trong nhiều trường hợp, kẻ thù thể hiện sự hiểu biết chi tiết về lý lịch, tổ chức và bối cảnh hoạt động của nạn nhân, làm tăng đáng kể tỷ lệ thành công của nỗ lực tấn công kỹ thuật xã hội.
Bên trong PLUGGYAPE: Khả năng và sự tiến hóa của phần mềm độc hại
Các tệp lưu trữ được tải xuống sẽ triển khai một tệp thực thi được xây dựng bằng PyInstaller, tệp này sẽ cài đặt phần mềm độc hại PLUGGYAPE. Được viết bằng Python, phần mềm độc hại này cho phép người điều hành chạy mã tùy ý từ xa trên các hệ thống bị nhiễm. Theo thời gian, các biến thể mới hơn đã tích hợp các kỹ thuật che giấu mạnh mẽ hơn và các cơ chế chống phân tích được thiết kế để ngăn chặn việc thực thi trong môi trường ảo hóa hoặc nghiên cứu.
PLUGGYAPE liên lạc với người điều hành bằng kết nối WebSocket và, kể từ tháng 12 năm 2025, cũng hỗ trợ giao thức MQTT, mở rộng tính linh hoạt và khả năng phục hồi của nó. Kênh liên lạc này cho phép kiểm soát liên tục các máy chủ bị xâm nhập và tạo điều kiện thuận lợi cho việc thực hiện nhiệm vụ nhanh chóng của kẻ tấn công.
Khả năng phục hồi của hệ thống chỉ huy và kiểm soát cũng như an ninh hoạt động
Thay vì nhúng trực tiếp địa chỉ máy chủ điều khiển vào phần mềm độc hại, những kẻ điều hành lấy các điểm cuối điều khiển và quản trị từ các dịch vụ chia sẻ công cộng như rentry.co và pastebin.com. Các địa chỉ này được lưu trữ dưới dạng mã hóa base64, cho phép kẻ tấn công nhanh chóng thay đổi cơ sở hạ tầng mà không cần triển khai lại phần mềm độc hại. Cách tiếp cận này làm phức tạp các nỗ lực gỡ bỏ và tăng cường tính liên tục hoạt động nếu các máy chủ đã biết được phát hiện và bị gián đoạn.
Một sự chuyển dịch rộng hơn hướng tới việc phát tán các mối đe dọa thông qua tin nhắn.
CERT-UA nhấn mạnh rằng các ứng dụng nhắn tin phổ biến trên cả thiết bị di động và máy tính cá nhân đang nhanh chóng trở thành kênh chính để phát tán các mối đe dọa mạng. Tính phổ biến của chúng, kết hợp với sự tin tưởng của người dùng và khả năng tương tác thời gian thực, khiến chúng trở thành nền tảng đặc biệt hiệu quả để phát tán các công cụ độc hại và thao túng nạn nhân.
