PLUGGYAPE 恶意软件

乌克兰计算机应急响应小组（CERT-UA）披露了一波针对国家国防机构的新网络攻击。这些攻击发生在2025年10月至12月期间，涉及一种此前未被记录的恶意软件，名为PLUGGYAPE。此次攻击活动凸显了针对乌克兰目标的社交工程策略和技术复杂性的持续演变。

归因和威胁行为者概况

此次活动已被初步认定与一个名为“虚空暴雪”（Void Blizzard，又名“洗衣熊”或“UAC-0190”）的俄罗斯关联黑客组织有关。情报评估显示，该组织至少从2024年4月起就已活跃。他们近期的行动表明，其目标主要集中在军事和国防相关领域。

社会工程是初始准入的核心

感染链并非始于漏洞利用，而是始于欺骗。攻击者通过Signal和WhatsApp等广受信任的即时通讯平台发起攻击。他们冒充慈善组织的代表，诱骗受害者点击链接，访问虚假的人道主义网站，例如harthulp-ua.com和solidarity-help.org等域名。这些网站模仿合法基金会，并托管受密码保护的恶意文件。

攻击者越来越依赖于已被攻破或精心伪造的乌克兰移动运营商账户。通信使用乌克兰语，可能包括语音或视频通话。在许多情况下，攻击者对受害者的背景、组织和运营环境表现出极高的了解，这显著提高了社会工程攻击的成功率。

PLUGGYAPE 内幕：恶意软件的功能和演变

下载的压缩包会部署一个使用 PyInstaller 构建的可执行文件，该文件会安装 PLUGGYAPE 后门。该恶意软件用 Python 编写，使操作者能够在受感染的系统上远程运行任意代码。随着时间的推移，新变种融合了更强大的混淆技术和反分析机制，旨在防止在虚拟化或研究环境中执行。

PLUGGYAPE 使用 WebSocket 连接与其运营商通信，并且自 2025 年 12 月起也支持 MQTT 协议，从而增强了其灵活性和弹性。这种通信通道允许对受感染主机进行持续控制，并方便攻击者快速执行任务。

指挥控制韧性和作战安全

攻击者并非将控制服务器地址直接嵌入恶意软件，而是从 rentry.co 和 pastebin.com 等公共粘贴服务中获取命令与控制端点。这些地址以 base64 编码形式存储，使攻击者能够在不重新部署恶意软件的情况下快速更改基础设施。这种方法增加了清除难度，但如果已知服务器被发现并遭到破坏，则能增强运营的连续性。

威胁传播方式向基于即时通讯工具的广泛转变

CERT-UA强调，移动设备和个人电脑上的热门即时通讯应用正迅速成为网络威胁传播的主要渠道。这些应用的普及性、用户信任度以及实时互动功能，使其成为传播恶意工具和操纵受害者的有效平台。