Selon BleepingComputer, entre octobre et décembre 2025, des officiels des Forces de défense ukrainiennes ont été visés par une campagne à thème caritatif qui a livré un malware de type backdoor, nommé PluggyApe.

🎯 Campagne PluggyApe visant les Forces de défense ukrainiennes

Entre octobre et décembre 2025, des responsables des Forces de défense ukrainiennes ont été ciblés par une campagne malveillante se faisant passer pour des initiatives caritatives.
Selon un rapport de :contentReference[oaicite:0]{index=0}, les attaques sont attribuées avec un niveau de confiance moyen à un groupe de menace russe connu sous les noms Void Blizzard et Laundry Bear.

Le groupe Laundry Bear est déjà connu pour des opérations d’espionnage ciblant des États membres de l’OTAN, notamment une intrusion dans les systèmes internes de la police néerlandaise en 2024.

⚙️ Mode opératoire

  • Vecteur initial : messages instantanés via Signal ou WhatsApp.
  • Leurre : invitation à visiter un site web de fausse fondation caritative.
  • Charge initiale : téléchargement d’une archive protégée par mot de passe, censée contenir des documents d’intérêt.
  • Contenu réel :
    • fichiers exécutables PIF déguisés en documents (.docx.pif),
    • ou directement le malware PluggyApe transmis via messagerie.

Les exécutables sont construits avec PyInstaller, permettant d’embarquer du code Python et ses dépendances dans un seul binaire.

🧬 Malware : PluggyApe

PluggyApe est une porte dérobée (backdoor) qui :

  • dresse un profil détaillé du système compromis,
  • génère un identifiant unique de victime,
  • exfiltre des informations vers l’attaquant,
  • reste en attente de commandes d’exécution à distance.

Évolutions récentes

  • Abandon du loader .pdf.exe au profit de PIF.
  • Passage à PluggyApe v2 (décembre 2025) :
    • obfuscation renforcée,
    • communications MQTT,
    • contrôles anti-analyse supplémentaires.
  • Les adresses C2 ne sont plus codées en dur :
    • elles sont récupérées depuis rentry.co et pastebin.com,
    • stockées sous forme Base64.

Persistance

  • Modification du Registre Windows pour maintenir l’accès après redémarrage.

⚠️ Points d’alerte mis en avant par CERT-UA

  • Les appareils mobiles sont devenus des cibles privilégiées :
    • moins surveillés,
    • moins protégés que les postes de travail classiques.
  • Les attaquants utilisent :
    • des comptes légitimes compromis,
    • des numéros de télécommunication ukrainiens,
    • la langue ukrainienne, parfois via audio/vidéo,
    • des informations précises sur les victimes et leurs organisations.

👉 Résultat : des attaques hautement crédibles et personnalisées.

🧠 TTPs (extraits MITRE ATT&CK)

  • T1566.002 – Phishing via services de messagerie (Signal, WhatsApp)
  • T1204.002 – User Execution : fichiers déguisés en documents
  • T1036.005 – Masquerading : double extension (.docx.pif)
  • T1059.006 – Command and Scripting Interpreter : Python
  • T1027 – Obfuscated / Encrypted Payloads
  • T1105 – Ingress Tool Transfer
  • T1547.001 – Boot or Logon Autostart Execution : Registry Run Keys
  • T1071.004 – Application Layer Protocol : MQTT
  • T1082 – System Information Discovery
  • T1071.001 – Web Protocols (Pastebin, rentry pour C2 indirect)

🧾 IOCs observables (exemples)

Types de fichiers

  • *.docx.pif
  • Archives protégées par mot de passe contenant des exécutables PyInstaller

Techniques et artefacts

  • Binaire Python packagé avec PyInstaller
  • Requêtes sortantes vers :
    • pastebin.com
    • rentry.co
  • Communications réseau via MQTT
  • Clés de persistance dans le Registre Windows

⚠️ La liste complète des IOCs (domaines de faux sites caritatifs inclus) est fournie dans le rapport officiel de CERT-UA.

🔍 Conclusion

Cette campagne illustre une montée en sophistication des opérations d’ingénierie sociale russes, combinant :

  • usurpation de causes humanitaires,
  • exploitation des messageries chiffrées,
  • malware modulaire et adaptable.

Elle confirme également la militarisation des attaques informationnelles, ciblant directement des acteurs liés à la défense ukrainienne, avec un accent croissant sur les terminaux mobiles et la crédibilité humaine plutôt que sur de simples exploits techniques.

Type d’article: analyse de menace présentant une campagne ciblée et son vecteur principal.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/ukraines-army-targeted-in-new-charity-themed-malware-campaign/