Entre outubro e dezembro de 2025, o grupo de hackers russo Void Blizzard, também conhecido como Laundry Bear ou UAC-0190, foi identificado como responsável por ataques cibernéticos contra as forças de defesa ucranianas. O malware utilizado, chamado PLUGGYAPE, se espalhou através de aplicativos de mensagens instantâneas como Signal e WhatsApp, onde os atacantes se passavam por organizações de caridade para enganar as vítimas a clicarem em links maliciosos.
Os hackers usaram links disfarçados de fundações de caridade, como “harthulp-ua[.]com” ou “solidarity-help[.]org”, para induzir as vítimas a baixar um arquivo protegido por senha. Este arquivo continha um executável criado com PyInstaller, que instalava o PLUGGYAPE. O malware, escrito em Python, se comunica com um servidor remoto via WebSocket ou MQTT, permitindo que os operadores executem comandos arbitrários nos sistemas comprometidos.
O PLUGGYAPE evoluiu para incluir técnicas de ofuscação e verificações anti-análise, dificultando sua detecção em ambientes virtuais. Além disso, os endereços de comando e controle (C2) são obtidos de serviços externos como rentry[.]co e pastebin[.]com, codificados em base64, o que permite aos atacantes atualizar os servidores C2 em tempo real, garantindo segurança operacional.
Os atacantes iniciam o contato com as vítimas usando contas legítimas e números de telefone de operadoras ucranianas, comunicando-se em ucraniano e demonstrando conhecimento detalhado sobre as operações das vítimas. Mensageiros amplamente utilizados em dispositivos móveis e computadores pessoais se tornaram o principal canal para a entrega de ferramentas de ameaça cibernética.
Além do PLUGGYAPE, a agência de cibersegurança ucraniana identificou outras ameaças, como o cluster UAC-0239, que enviou e-mails de phishing contendo links para arquivos VHD ou anexos diretos, visando roubar informações através de um stealer baseado em Go chamado FILEMESS. Outro grupo, UAC-0241, utilizou arquivos ZIP com atalhos do Windows para executar scripts que entregam ferramentas como LaZagne e backdoors Go.
Fonte:https://thehackernews.com/2026/01/pluggyape-malware-uses-signal-and.html
Slug: pluggyape-malware-afeta-defesa-ucraniana
