Đội ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) đã tiết lộ chi tiết về các cuộc tấn công mạng mới nhắm vào lực lượng quốc phòng của họ bằng mã độc PLUGGYAPE từ tháng 10 đến tháng 12 năm 2025.
Hoạt động này được cho là có liên quan ở mức độ trung bình đến một nhóm tin tặc Nga được theo dõi là Void Blizzard (còn gọi là Laundry Bear hoặc UAC-0190). Kẻ tấn công được cho là đã hoạt động ít nhất từ tháng 4 năm 2024.
Chuỗi tấn công phát tán mã độc này sử dụng ứng dụng nhắn tin tức thời Signal và WhatsApp làm phương tiện, với việc các tác nhân đe dọa giả mạo các tổ chức từ thiện để thuyết phục mục tiêu nhấp vào một liên kết tưởng chừng vô hại ("harthulp-ua[.]com" hoặc "solidarity-help[.]org") mạo danh tổ chức và tải xuống một tệp lưu trữ được bảo vệ bằng mật khẩu.
Các tệp lưu trữ chứa một tệp thực thi được tạo bằng PyInstaller cuối cùng đã dẫn đến việc triển khai PLUGGYAPE. CERT-UA cho biết các phiên bản kế tiếp của backdoor này đã bổ sung các biện pháp che giấu và kiểm tra chống phân tích để ngăn các tạo phẩm bị thực thi trong môi trường ảo.
Được viết bằng Python, PLUGGYAPE thiết lập liên lạc với một máy chủ từ xa qua WebSocket hoặc Message Queuing Telemetry Transport (MQTT), cho phép các nhà điều hành thực thi mã tùy ý trên các máy chủ bị xâm nhập. Hỗ trợ giao tiếp bằng giao thức MQTT đã được thêm vào tháng 12 năm 2025.
Ngoài ra, các địa chỉ command-and-control (C2) được truy xuất từ các dịch vụ dán bên ngoài như rentry[.]co và pastebin[.]com, nơi chúng được lưu trữ dưới dạng mã hóa Base64, thay vì mã hóa cứng trực tiếp tên miền vào chính mã độc. Điều này mang lại cho kẻ tấn công khả năng duy trì bảo mật hoạt động và khả năng phục hồi, cho phép chúng cập nhật các máy chủ C2 trong thời gian thực trong các tình huống cơ sở hạ tầng ban đầu bị phát hiện và gỡ bỏ.
"Tương tác ban đầu với mục tiêu của một cuộc tấn công mạng ngày càng được thực hiện bằng cách sử dụng các tài khoản hợp pháp và số điện thoại của các nhà mạng di động Ukraine, với việc sử dụng tiếng Ukraine, giao tiếp bằng âm thanh và video, và kẻ tấn công có thể thể hiện kiến thức chi tiết và liên quan về cá nhân, tổ chức và các hoạt động của họ," CERT-UA cho biết.
"Các ứng dụng nhắn tin được sử dụng rộng rãi trên thiết bị di động và máy tính cá nhân đang thực sự trở thành kênh phổ biến nhất để phân phối các công cụ phần mềm cho các mối đe dọa mạng."
Các chiến dịch tấn công mạng khác nhắm vào Ukraine
Trong những tháng gần đây, cơ quan an ninh mạng này cũng đã tiết lộ rằng một cụm đe dọa được theo dõi là UAC-0239 đã gửi các email lừa đảo từ các địa chỉ UKR[.]net và Gmail chứa liên kết đến một tệp VHD (hoặc trực tiếp dưới dạng tệp đính kèm) mở đường cho một stealer dựa trên Go có tên FILEMESS thu thập các tệp khớp với một số tiện ích mở rộng nhất định và truyền chúng ra Telegram.
Cũng được thả là một framework C2 mã nguồn mở có tên OrcaC2 cho phép thao tác hệ thống, truyền tệp, ghi nhật ký bàn phím (keylogging) và thực thi lệnh từ xa. Hoạt động này được cho là đã nhắm mục tiêu vào các lực lượng quốc phòng và chính quyền địa phương Ukraine.
Các tổ chức giáo dục và cơ quan nhà nước ở Ukraine cũng đã trở thành nạn nhân của một chiến dịch spear-phishing khác do UAC-0241 dàn dựng, sử dụng các tệp lưu trữ ZIP chứa tệp phím tắt Windows (LNK), khi mở sẽ kích hoạt thực thi một HTML Application (HTA) bằng "mshta.exe."
Payload HTA sau đó sẽ khởi chạy JavaScript được thiết kế để tải xuống và thực thi một script PowerShell, sau đó phân phối một công cụ mã nguồn mở có tên LaZagne để khôi phục mật khẩu đã lưu trữ và một backdoor Go có tên mã GAMYBEAR có thể nhận và thực thi các lệnh đến từ máy chủ và truyền kết quả trở lại dưới dạng mã hóa Base64 qua HTTP.
