L'équipe ukrainienne d'intervention en cas d'urgence informatique (CERT-UA) a révélé les détails de nouvelles cyberattaques ciblant ses forces de défense avec un logiciel malveillant connu sous le nom de PLUGGYAPE entre octobre et décembre 2025.
L'activité a été attribuée avec un niveau de confiance moyen à un groupe de piratage russe suivi comme Blizzard du Vide (également connu sous le nom de Laundry Bear ou UAC-0190). On pense que l’acteur menaçant est actif depuis au moins avril 2024.
Les chaînes d'attaque qui distribuent le malware exploitent la messagerie instantanée Signal et WhatsApp comme vecteurs, les acteurs de la menace se faisant passer pour des organisations caritatives pour convaincre les cibles de cliquer sur un lien apparemment inoffensif (« harthulp-ua[.]com” ou “aide-solidarité[.]org”) en se faisant passer pour la fondation et en téléchargeant un fichier protégé par mot de passe.
Les fichiers contiennent un exécutable créé avec PyInstaller qui a finalement conduit à l'implémentation de PLUGGYAPE. Le CERT-UA a déclaré que les itérations successives de la porte dérobée ont ajouté des contrôles d'obscurcissement et d'anti-analyse pour empêcher les artefacts de s'exécuter dans un environnement virtuel.
Écrit en Python, PLUGGYAPE établit une communication avec un serveur distant via WebSocket ou Message Queuing Telemetry Transport (MQTT), permettant aux opérateurs d'exécuter du code arbitraire sur des hôtes compromis. En décembre 2025, la prise en charge de la communication utilisant le protocole MQTT a été ajoutée.
De plus, les adresses de commande et de contrôle (C2) sont récupérées à partir de services de collage externes tels que rentry[.]co et pastbin[.]com, où ils sont stockés au format codé en base64, plutôt que de coder directement le domaine dans le malware lui-même. Cela donne aux attaquants la possibilité de maintenir la sécurité et la résilience opérationnelles, leur permettant de mettre à jour les serveurs C2 en temps réel dans des scénarios où l'infrastructure d'origine est détectée et supprimée.
“L'interaction initiale avec la cible d'une cyberattaque s'effectue de plus en plus à l'aide de comptes et de numéros de téléphone légitimes d'opérateurs mobiles ukrainiens, avec l'utilisation de la langue ukrainienne, de communications audio et vidéo, et l'attaquant peut démontrer une connaissance détaillée et pertinente de l'individu, de l'organisation et de ses opérations”, a déclaré le CERT-UA.
« Les messageries largement utilisées, disponibles sur les appareils mobiles et les ordinateurs personnels, deviennent de facto le canal le plus courant pour fournir des outils logiciels de cybermenace. »
Ces derniers mois, l'agence de cybersécurité a également révélé qu'un groupe de menaces identifié sous le nom d'UAC-0239 envoyait des e-mails de phishing depuis l'UKR.[.]net et Gmail contenant des liens vers un fichier VHD (ou directement en pièce jointe), ouvrant la voie à un voleur basé sur Go appelé FILEMESS qui collecte les fichiers correspondant à certaines extensions et les exfiltre vers Telegram.
Un framework C2 open source appelé OrcaC2 a également été publié pour permettre la manipulation du système, le transfert de fichiers, l'enregistrement de frappe et l'exécution de commandes à distance. Cette activité aurait ciblé les forces de défense ukrainiennes et les gouvernements locaux.
Les établissements d'enseignement et les autorités de l'État en Ukraine ont également été ciblés par une autre campagne de phishing orchestrée par l'UAC-0241 qui exploite des fichiers ZIP contenant un fichier de raccourci Windows (LNK), dont l'ouverture déclenche l'exécution d'une application HTML (HTA) utilisant « mshta.exe ».
La charge utile HTA, à son tour, lance JavaScript conçu pour télécharger et exécuter un script PowerShell, qui fournit ensuite un outil open source appelé LaZagne pour récupérer les mots de passe stockés et une porte dérobée Go nommée GAMYBEAR qui peut recevoir et exécuter des commandes entrantes d'un serveur et transmettre les résultats au format codé en Base64 via HTTP.
