El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de un nuevo ciberataque dirigido a las Fuerzas Armadas entre octubre y diciembre de 2025 con un malware conocido como PLUGGYAPE.
Se cree con confianza media que esta actividad es obra de un grupo de hackers ruso rastreado como Void Blizzard (también conocido como Laundry Bear o UAC-0190). Se cree que este actor de amenazas ha estado activo desde al menos abril de 2024.
La cadena de ataque que distribuye el malware utiliza la mensajería instantánea Signal y WhatsApp como vectores, y los atacantes se hacen pasar por organizaciones benéficas que persuaden a sus objetivos para que hagan clic en un enlace aparentemente inofensivo que se hace pasar por una fundación (como «hartulp-ua(.)com» o «solidarity-help(.)org») y descarguen un archivo protegido con contraseña.
El archivo contiene archivos ejecutables creados con PyInstaller que, en última instancia, conducen a la implementación de PLUGGYAPE. CERT-UA dijo que las sucesivas iteraciones de la puerta trasera agregaron controles de ofuscación y antianálisis para evitar que se ejecuten artefactos en entornos virtuales.
Escrito en Python, PLUGGYAPE establece comunicación con servidores remotos a través de WebSockets o Message Queue Telemetry Transport (MQTT), lo que permite a los operadores ejecutar código arbitrario en hosts comprometidos. En diciembre de 2025 se agregó soporte para la comunicación mediante el protocolo MQTT.
Además, las direcciones de comando y control (C2) se obtienen de servicios de pegado externos como rentry(.)co y pastbin(.)com y se almacenan en formato codificado base64, en lugar de codificar el dominio directamente en el propio malware. Esto permite a los atacantes mantener la seguridad operativa y la resiliencia, lo que les permite actualizar sus servidores C2 en tiempo real en escenarios en los que la infraestructura original se detecta y cae.
CERT-UA declaró que «las interacciones iniciales con los objetivos de los ataques cibernéticos se llevan a cabo cada vez más utilizando cuentas y números de teléfono legítimos de operadores de telefonía móvil ucranianos, utilizando el idioma ucraniano, comunicaciones de voz y video, y los atacantes pueden demostrar un conocimiento detallado y relevante de los individuos, las organizaciones y sus operaciones».
«Los servicios de mensajería ampliamente utilizados disponibles en dispositivos móviles y computadoras personales se están convirtiendo en el canal más común de facto para entregar herramientas de software contra las amenazas cibernéticas».
En los últimos meses, las agencias de ciberseguridad también han revelado que un grupo de amenazas rastreado como UAC-0239 envía correos electrónicos de phishing que contienen enlaces a archivos VHD (o directamente como archivos adjuntos) desde direcciones UKR(.)net y Gmail, allanando el camino para un ladrón basado en Go llamado FILEMESS que recopila archivos que coinciden con extensiones específicas y los filtra a Telegram.
También lanzó un marco C2 de código abierto llamado OrcaC2 que permite operaciones del sistema, transferencias de archivos, registro de teclas y ejecución remota de comandos. Se dice que la operación estaba dirigida a las Fuerzas Armadas de Ucrania y a los gobiernos locales.
Las instituciones educativas y las autoridades estatales ucranianas también han sido víctimas de otra campaña de phishing organizada por UAC-0241 que explota archivos ZIP que contienen archivos de acceso directo de Windows (LNK) para activar la ejecución de aplicaciones HTML (HTA) utilizando ‘mshta.exe’.
Luego, la carga útil de HTA inicia JavaScript diseñado para descargar y ejecutar scripts de PowerShell, proporcionando una herramienta de código abierto llamada LaZagne para recuperar contraseñas almacenadas y una puerta trasera Go (con nombre en código GAMYBEAR) que puede recibir y ejecutar comandos recibidos del servidor y enviar los resultados a través de HTTP en formato codificado en Base64.
Source link
