Logiciel malveillant PLUGGYAPE
L'équipe ukrainienne de réponse aux urgences informatiques (CERT-UA) a révélé une nouvelle vague de cyberattaques visant des entités de la défense nationale. Ces attaques, observées entre octobre et décembre 2025, impliquent une souche de logiciel malveillant jusqu'alors inconnue, baptisée PLUGGYAPE. Cette campagne met en lumière l'évolution constante des tactiques d'ingénierie sociale et la sophistication technique croissante des attaques contre des cibles ukrainiennes.
Table des matières
Attribution et profil de l’acteur de la menace
Cette activité a été liée, avec un degré de confiance moyen, à un groupe de pirates informatiques pro-russe connu sous le nom de Void Blizzard, également appelé Laundry Bear ou UAC-0190. Les services de renseignement indiquent que le groupe est actif depuis au moins avril 2024. Leurs opérations récentes témoignent d'un intérêt particulier pour les environnements militaires et de défense.
L’ingénierie sociale au cœur de l’accès initial
La chaîne d'infection ne commence pas par l'exploitation de failles de sécurité, mais par la tromperie. Les cybercriminels prennent contact via des plateformes de messagerie instantanée largement utilisées et fiables, telles que Signal et WhatsApp. Se faisant passer pour des représentants d'organisations caritatives, ils persuadent leurs victimes d'ouvrir des liens menant à de faux sites web humanitaires, notamment des domaines comme harthulp-ua.com et solidarity-help.org. Ces sites usurpent l'identité de fondations légitimes et hébergent des archives protégées par mot de passe contenant le logiciel malveillant.
Les attaquants s'appuient de plus en plus sur des comptes compromis ou préparés de manière convaincante, liés à des opérateurs mobiles ukrainiens. Les communications se déroulent en ukrainien et peuvent inclure des appels vocaux ou vidéo. Dans de nombreux cas, l'adversaire démontre une connaissance approfondie du profil, de l'organisation et du contexte opérationnel de la victime, ce qui accroît considérablement le succès de l'ingénierie sociale.
Au cœur de PLUGGYAPE : Capacités et évolution des logiciels malveillants
Les archives téléchargées déploient un exécutable compilé avec PyInstaller, qui installe la porte dérobée PLUGGYAPE. Écrit en Python, ce logiciel malveillant permet aux opérateurs d'exécuter à distance du code arbitraire sur les systèmes infectés. Au fil du temps, de nouvelles variantes ont intégré des techniques d'obfuscation plus robustes et des mécanismes anti-analyse conçus pour empêcher l'exécution dans des environnements virtualisés ou de recherche.
PLUGGYAPE communique avec ses opérateurs via des connexions WebSocket et, depuis décembre 2025, prend également en charge le protocole MQTT, ce qui accroît sa flexibilité et sa résilience. Ce canal de communication permet un contrôle persistant des hôtes compromis et facilite l'exécution rapide des tâches par les attaquants.
Résilience du commandement et du contrôle et sécurité opérationnelle
Au lieu d'intégrer directement les adresses des serveurs de contrôle dans le logiciel malveillant, les opérateurs récupèrent les points d'accès de commande et de contrôle via des services de partage de texte publics tels que rentry.co et pastebin.com. Ces adresses sont stockées au format base64, ce qui permet aux attaquants de modifier rapidement l'infrastructure sans redéployer le logiciel malveillant. Cette approche complique les opérations de démantèlement et renforce la continuité des opérations si des serveurs connus sont découverts et neutralisés.
Une évolution plus large vers la transmission des menaces par messagerie instantanée
Le CERT-UA souligne que les applications de messagerie populaires, tant sur appareils mobiles que sur ordinateurs, deviennent rapidement des vecteurs privilégiés de diffusion des cybermenaces. Leur omniprésence, conjuguée à la confiance des utilisateurs et à l'interaction en temps réel, en fait des plateformes particulièrement efficaces pour la diffusion d'outils malveillants et la manipulation des victimes.
