Οι πρωταγωνιστές της απειλής έχουν ξεκινήσει μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού εναντίον μελών των Αμυντικών Δυνάμεων της Ουκρανίας, εκμεταλλευόμενοι φιλανθρωπικές επιχειρήσεις ως κάλυμμα για τις επιθέσεις τους.
Λειτουργώντας από τον Οκτώβριο έως τον Δεκέμβριο του 2025, οι επιτιθέμενοι διένειμαν το PLUGGYAPE, μια κερκόπορτα βασισμένη σε Python, σχεδιασμένη για να θέσει σε κίνδυνο το στρατιωτικό προσωπικό.
Η εκστρατεία δείχνει πώς οι εγκληματίες του κυβερνοχώρου αξιοποιούν όλο και περισσότερο την κοινωνική μηχανική σε συνδυασμό με νόμιμες φιλανθρωπικές αφηγήσεις για να διεισδύσουν σε δίκτυα άμυνας υψηλής ασφάλειας.
Η αρχική αλυσίδα μόλυνσης βασίζεται σε πειστικούς στόχους για να επισκεφθούν ψεύτικους ιστοτόπους φιλανθρωπικών ιδρυμάτων μέσω μηνυμάτων που αποστέλλονται μέσω instant messenger.
Μόλις τα θύματα προσγειωθούν σε αυτές τις δόλιες σελίδες, τους ζητείται να κατεβάσουν όσα φαίνονται νόμιμα έγγραφα.
Ωστόσο, αυτά τα αρχεία είναι στην πραγματικότητα εκτελέσιμα προγράμματα, συχνά μεταμφιεσμένα με διπλές επεκτάσεις όπως .docx.pif ή .pdf.exe και τοποθετούνται σε αρχεία που προστατεύονται με κωδικό πρόσβασης για να παρακάμψουν τα συστήματα ανίχνευσης.
Αυτή η προσέγγιση αποδεικνύεται αποτελεσματική επειδή η οπτική παρουσίαση μιμείται αυθεντικά έγγραφα που θα χειριζόταν συνήθως το στρατιωτικό προσωπικό.
Αναλυτές CERT-UA αναγνωρισθείς το κακόβουλο λογισμικό μετά από προσεκτική διερεύνηση των τεχνικών χαρακτηριστικών της καμπάνιας.
Οι ερευνητές σημείωσαν ότι η ομάδα απειλών, η οποία παρακολουθείται ως UAC-0190 και είναι γνωστή με το ψευδώνυμο Void Blizzard, διατηρεί την απόδοση μέσης εμπιστοσύνης.
Οι επιτιθέμενοι επιδεικνύουν περίπλοκη κατανόηση των στόχων τους, χρησιμοποιώντας νόμιμους λογαριασμούς και αριθμούς τηλεφώνου ουκρανικής εταιρείας κινητής τηλεφωνίας ενώ επικοινωνούν στα ουκρανικά μέσω δημοφιλών εφαρμογών ανταλλαγής μηνυμάτων.
Μηχανισμός μόλυνσης και υποδομή διοίκησης
Το κακόβουλο λογισμικό λειτουργεί μέσω ενός καλά σχεδιασμένου μηχανισμού εμμονής που εξασφαλίζει μακροπρόθεσμη πρόσβαση σε παραβιασμένα συστήματα.
Όταν εκτελείται, το PLUGGYAPE δημιουργεί ένα μοναδικό αναγνωριστικό συσκευής συλλέγοντας βασικές πληροφορίες υπολογιστή, όπως διεύθυνση MAC, σειριακό αριθμό BIOS, αναγνωριστικό δίσκου και αναγνωριστικό επεξεργαστή.
Αυτά τα δεδομένα υποβάλλονται σε επεξεργασία μέσω κρυπτογράφησης SHA-256, με μόνο τα πρώτα δεκαέξι byte να χρησιμοποιούνται ως δακτυλικό αποτύπωμα της συσκευής. Στη συνέχεια, η κερκόπορτα δημιουργεί μια καταχώρηση μητρώου στον κλάδο Windows Run, η οποία εγγυάται την αυτόματη εκτέλεση κάθε φορά που το μολυσμένο σύστημα επανεκκινείται.
Αυτή η τεχνική επιμονής αντιπροσωπεύει μια θεμελιώδη πτυχή του σχεδιασμού του κακόβουλου λογισμικού, καθώς οι στόχοι μπορεί να είναι εκτός σύνδεσης για εκτεταμένες περιόδους και η μη αυτόματη επανενεργοποίηση θα αποδεικνυόταν μη πρακτική.
Η επικοινωνία με διακομιστές εντολών πραγματοποιείται μέσω υποδοχών web ή πρωτοκόλλων MQTT, με όλα τα δεδομένα να μεταδίδονται σε μορφή JSON.
Οι πρώιμες παραλλαγές συνδέονταν απευθείας με σκληρά κωδικοποιημένες διευθύνσεις IP που ήταν ενσωματωμένες στον κώδικα κακόβουλου λογισμικού, αλλά οι χειριστές εξέλιξαν αργότερα την υποδομή τους για να αποκρύψουν διευθύνσεις σε δημόσιες υπηρεσίες επικόλλησης όπως το Pastebin και το Rentry, κωδικοποιημένες σε μορφή Base64.
Μέχρι τον Δεκέμβριο του 2025, εμφανίστηκε μια βελτιωμένη έκδοση με την ονομασία PLUGGYAPE.V2, η οποία ενσωματώνει βελτιωμένα επίπεδα συσκότισης και πρόσθετους ελέγχους που έχουν σχεδιαστεί για τον εντοπισμό περιβαλλόντων εικονικών μηχανών.
Αυτή η αναβάθμιση καταδεικνύει τη δέσμευση των επιτιθέμενων να διατηρήσουν την επιχειρησιακή αποτελεσματικότητα έναντι ολοένα και πιο εξελιγμένων αμυντικών μέτρων που εφαρμόζουν οι ουκρανικές μονάδες κυβερνοχώρου.
