Entre outubro e dezembro de 2025, o grupo de hackers russo Void Blizzard, também conhecido como Laundry Bear ou UAC-0190, realizou ataques cibernéticos contra as forças de defesa da Ucrânia utilizando o malware PLUGGYAPE. A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) revelou que os ataques foram conduzidos através de mensagens instantâneas no Signal e WhatsApp, onde os invasores se passavam por organizações de caridade para enganar as vítimas a clicarem em links maliciosos.
Os hackers usaram links que imitavam fundações de caridade, como “harthulp-ua[.]com” e “solidarity-help[.]org”, para distribuir arquivos protegidos por senha. Esses arquivos continham um executável criado com PyInstaller, que instalava o PLUGGYAPE nos sistemas das vítimas. O malware, escrito em Python, se comunica com servidores remotos via WebSocket ou MQTT, permitindo a execução de comandos arbitrários nos dispositivos comprometidos. Em dezembro de 2025, foi adicionada a capacidade de comunicação via MQTT.
Os endereços de comando e controle (C2) são armazenados em serviços de paste externos, como rentry[.]co e pastebin[.]com, em formato codificado em base64. Isso permite que os invasores atualizem os servidores C2 em tempo real, mantendo a segurança operacional caso a infraestrutura original seja detectada e desativada.
Os ataques começam com interações usando contas legítimas e números de telefone de operadores móveis ucranianos, além de comunicação em ucraniano. Os invasores demonstram conhecimento detalhado sobre as vítimas e suas operações, utilizando mensageiros amplamente disponíveis em dispositivos móveis e computadores pessoais como canais principais para entregar ferramentas de software maliciosas.
Além do PLUGGYAPE, a CERT-UA identificou outras campanhas de phishing. Um grupo identificado como UAC-0239 enviou e-mails de phishing com links para arquivos VHD que instalam um stealer baseado em Go chamado FILEMESS, que coleta arquivos específicos e os envia para o Telegram. Outro grupo, UAC-0241, usou arquivos ZIP com atalhos do Windows para executar scripts PowerShell e instalar ferramentas de recuperação de senhas e backdoors.
Fonte:https://thehackernews.com/2026/01/pluggyape-malware-uses-signal-and.html
