Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft details bekendgemaakt van nieuwe cyberaanvallen gericht op zijn defensietroepen met malware bekend als PLUGGYAPE tussen oktober en december 2025.
De activiteit wordt met gemiddeld vertrouwen toegeschreven aan een Russische hackgroep die wordt gevolgd als Leegte Sneeuwstorm (ook bekend als Laundry Bear of UAC-0190). Er wordt aangenomen dat de bedreigingsacteur minstens sinds april 2024 actief is.
Aanvalsketens die de malware verspreiden, maken gebruik van instant messaging Signal en WhatsApp als vectoren, waarbij de bedreigingsactoren zich voordoen als liefdadigheidsorganisaties om doelen te overtuigen om op een ogenschijnlijk onschuldige link (“harthulp-ua(.)com” of “solidarity-help(.)org”) te klikken die zich voordoet als de stichting en een met een wachtwoord beveiligd archief te downloaden.
De archieven bevatten een uitvoerbaar bestand gemaakt met PyInstaller dat uiteindelijk leidde tot de implementatie van PLUGGYAPE. CERT-UA zei dat opeenvolgende iteraties van de achterdeur verduistering en anti-analysecontroles hebben toegevoegd om te voorkomen dat de artefacten in een virtuele omgeving worden uitgevoerd.
PLUGGYAPE, geschreven in Python, brengt communicatie tot stand met een externe server via WebSocket of Message Queuing Telemetry Transport (MQTT), waardoor de operators willekeurige code kunnen uitvoeren op gecompromitteerde hosts. Ondersteuning voor communicatie via het MQTT-protocol is in december 2025 toegevoegd.
Bovendien worden de command-and-control (C2)-adressen opgehaald van externe plakservices zoals rentry(.)co en pastebin(.)com, waar ze worden opgeslagen in base64-gecodeerde vorm, in plaats van het domein direct hard te coderen in de malware zelf. Dit geeft aanvallers de mogelijkheid om de operationele veiligheid en veerkracht te behouden, waardoor ze de C2-servers in realtime kunnen updaten in scenario’s waarin de oorspronkelijke infrastructuur wordt gedetecteerd en verwijderd.
“De eerste interactie met het doelwit van een cyberaanval wordt steeds vaker uitgevoerd met behulp van legitieme accounts en telefoonnummers van Oekraïense mobiele operators, met gebruik van de Oekraïense taal en audio- en videocommunicatie, en de aanvaller kan gedetailleerde en relevante kennis aantonen over het individu, de organisatie en haar activiteiten”, aldus CERT-UA.
“Veelgebruikte messengers die beschikbaar zijn op mobiele apparaten en personal computers worden de facto het meest gebruikte kanaal voor het leveren van softwaretools voor cyberdreigingen.”
In de afgelopen maanden heeft de cyberbeveiligingsdienst ook onthuld dat een bedreigingscluster, gevolgd als UAC-0239, phishing-e-mails heeft verzonden vanaf UKR(.)net- en Gmail-adressen met links naar een VHD-bestand (of rechtstreeks als bijlage) die de weg vrijmaken voor een Go-gebaseerde stealer genaamd FILEMESS die bestanden verzamelt die overeenkomen met bepaalde extensies en deze naar Telegram exfiltreert.
Ook is een open-source C2-framework verwijderd, OrcaC2 genaamd, dat systeemmanipulatie, bestandsoverdracht, keylogging en uitvoering van externe opdrachten mogelijk maakt. De activiteit zou gericht zijn geweest op Oekraïense strijdkrachten en lokale overheden.
Onderwijsinstellingen en overheidsinstanties in Oekraïne hebben ook aan de ontvangende kant gestaan van een andere spear-phishing-campagne, georkestreerd door UAC-0241, die gebruik maakt van ZIP-archieven met een Windows-snelkoppelingsbestand (LNK), dat de uitvoering van een HTML-toepassing (HTA) activeert met behulp van “mshta.exe”.
De HTA-payload lanceert op zijn beurt JavaScript dat is ontworpen om een PowerShell-script te downloaden en uit te voeren, dat vervolgens een open-sourcetool levert genaamd LaZagne om opgeslagen wachtwoorden te herstellen en een Go-achterdeur met de codenaam GAMYBEAR die inkomende opdrachten van een server kan ontvangen en uitvoeren en de resultaten terug kan verzenden in Base64-gecodeerde vorm via HTTP.
