Computer Emergency Response Team Ukrainy (CERT-UA) ujawnił szczegóły nowej fali ataków cybernetycznych wymierzonych w siły obronne kraju, w których między październikiem a grudniem 2025 roku użyto złośliwego oprogramowania nazwanego PLUGGYAPE. Incydenty te pokazują rosnącą złożoność kampanii i umiejętne łączenie technik socjotechnicznych z technologiami utrudniającymi wykrycie.
Analiza CERT-UA przypisuje działania z umiarkowaną pewnością grupie hakerskiej znanej jako Void Blizzard (również: Laundry Bear, UAC-0190), która — według dostępnych ustaleń — jest aktywna co najmniej od kwietnia 2024 r. To przypisanie wskazuje na trwałe zainteresowanie operatorów ofiarami w Ukrainie oraz na ciągły rozwój ich narzędzi i metod działania.
Ataki rozpoczynały się od komunikacji w popularnych komunikatorach mobilnych — Signal i WhatsApp — gdzie napastnicy podszywali się pod organizacje charytatywne, by namówić odbiorców do kliknięcia pozornie nieszkodliwego linku (m.in. „harthulp-ua[.]com” lub „solidarity-help[.]org”) i pobrania archiwum zabezpieczonego hasłem. Taki kanał dostępu jest szczególnie niebezpieczny, ponieważ wykorzystuje zaufanie do znajomych kont i znanych aplikacji komunikacyjnych.
Pobrane archiwa zawierały plik wykonywalny zbudowany za pomocą PyInstaller, który w końcu instalował backdoora PLUGGYAPE. CERT-UA wskazuje, że kolejne wersje tego backdoora wzbogacano o mechanizmy zaciemniania kodu oraz o kontrole antyanalizowe, mające na celu uniemożliwienie uruchomienia i zbadania komponentów w środowiskach wirtualnych.
Technicznie PLUGGYAPE jest napisany w Pythonie i ustanawia kanał komunikacji z serwerem zdalnym za pomocą WebSocket lub protokołu MQTT — obsługa tego drugiego została dodana w grudniu 2025 r. Pozwala to operatorom wykonywać dowolny kod na zainfekowanych maszynach. Zamiast na stałe umieszczać adresy serwerów dowodzenia i kontroli (C2) w samym złośliwym pliku, malware pobiera je z zewnętrznych serwisów z notatkami (np. rentry[.]co i pastebin[.]com), gdzie zapisane są w postaci zakodowanej base64. Taka konstrukcja zwiększa operacyjną odporność atakujących — umożliwia szybką aktualizację serwerów C2 w sytuacji, gdy pierwotna infrastruktura zostanie wykryta i zneutralizowana.
CERT-UA podkreśla także, że początkowy kontakt ofiary z atakiem coraz częściej odbywa się z użyciem prawdziwych kont i numerów telefonów ukraińskich operatorów, w języku ukraińskim, z wykorzystaniem komunikacji audio i wideo, a napastnicy mogą wykazywać szczegółową i relewantną wiedzę o osobie, organizacji i jej operacjach. Jak zauważa agencja: „Szeroko używane komunikatory dostępne na urządzeniach mobilnych i komputerach osobistych de facto stają się najczęstszym kanałem dystrybucji narzędzi programowych wykorzystywanych w zagrożeniach cybernetycznych.” Ten trend utrudnia tradycyjne metody wykrywania, gdyż ataki wykorzystują legalne usługi i kanały komunikacji.
W ostatnich miesiącach CERT-UA opisał także inne powiązane operacje. Grupa oznaczona jako UAC-0239 rozsyłała wiadomości phishingowe z adresów ukr[.]net i Gmail, zawierające linki do plików VHD lub same VHD jako załączniki, które uruchamiały stealer napisany w Go o nazwie FILEMESS. Ten program zbiera pliki o określonych rozszerzeniach i przesyła je do komunikatora Telegram. W tych kampaniach napastnicy korzystali także z otwartoźródłowego frameworka dowodzenia i kontroli OrcaC2, który umożliwia manipulację systemem, transfer plików, rejestrowanie naciśnięć klawiszy oraz zdalne wykonywanie poleceń. Działania UAC-0239 miały na celu m.in. siły obronne i samorządy lokalne.
Inny ślad ataków, przypisany UAC-0241, uderzał w instytucje edukacyjne i władze państwowe, stosując spreparowane archiwa ZIP z plikiem skrótu Windows (LNK). Otwarcie takiego skrótu uruchamiało aplikację HTML (HTA) za pomocą „mshta.exe”. HTA wykonywała kod JavaScript, który pobierał i uruchamiał skrypt PowerShell, dostarczający następnie otwartoźródłowe narzędzie LaZagne do odzyskiwania zapisanych haseł oraz backdoora napisanego w Go, zwanego GAMYBEAR. Ten ostatni potrafi odbierać i wykonywać polecenia z serwera oraz przesyłać wyniki z powrotem zakodowane w Base64 przez HTTP.
Zestaw opisanych technik — od socjotechniki wykorzystującej zaufane komunikatory, przez zaszyfrowane i dynamicznie odczytywane serwery C2, po użycie gotowych narzędzi i frameworków — ilustruje ewolucję zagrożeń skierowanych przeciwko ukraińskim instytucjom. Połączenie szczegółowych rozpoznań operacyjnych z technologiami utrudniającymi analizę i szybką neutralizację złośliwego oprogramowania, co czyni obronę coraz trudniejszym zadaniem dla zespołów bezpieczeństwa.