PLUGGYAPE Malware Uses Signal and WhatsApp to Target Ukrainian Defense Forces

Campagne de Cyber Espionnage Ciblant la Défense Ukrainienne

Entre octobre et décembre 2025, des attaques informatiques ont visé les forces de défense ukrainiennes par le biais d’un logiciel malveillant nommé PLUGGYAPE. Ces actions sont attribuées avec une confiance moyenne au groupe de pirates russes Void Blizzard (également connu sous les noms de Laundry Bear ou UAC-0190).

Les campagnes de distribution exploitent les applications de messagerie instantanée Signal et WhatsApp. Les attaquants se font passer pour des organisations caritatives afin d’inciter les cibles à cliquer sur des liens frauduleux (par exemple, “harthulp-ua[.]com” ou “solidarity-help[.]org”) qui imitent des fondations légitimes. Ces liens conduisent au téléchargement d’une archive protégée par mot de passe, contenant un exécutable. Des versions ultérieures du malware intègrent des techniques d’obfuscation et des vérifications anti-analyse pour déjouer la détection dans des environnements virtuels.

Le malware PLUGGYAPE, développé en Python, établit une communication avec un serveur distant via WebSocket ou MQTT. Il permet aux opérateurs d’exécuter du code arbitraire sur les systèmes compromis. Les adresses de commande et de contrôle (C2) sont récupérées à partir de services de paste externes (comme rentry[.]co et pastebin[.]com) encodées en base64, offrant ainsi une flexibilité et une résilience aux attaquants pour mettre à jour leurs infrastructures. Les interactions initiales avec les victimes font un usage de plus en plus fréquent de comptes et numéros de téléphone légitimes d’opérateurs mobiles ukrainiens, ainsi que de la langue ukrainienne, de communications audio et vidéo.

D’autres campagnes notables ont été identifiées :

• Le groupe UAC-0239 a utilisé des adresses email ukrainiennes et Gmail pour envoyer des liens vers des fichiers VHD ou des pièces jointes menant au logiciel malveillant FILEMESS, capable de voler des fichiers ciblés et de les exfiltrer vers Telegram. Il déploie également OrcaC2, un framework open-source permettant la manipulation de systèmes, le transfert de fichiers, la capture de frappes et l’exécution de commandes à distance. Ces activités ont ciblé les forces de défense et les administrations locales ukrainiennes.
• Le groupe UAC-0241 a mené des campagnes de spear-phishing contre des établissements d’enseignement et des autorités étatiques ukrainiens, utilisant des archives ZIP contenant des raccourcis Windows (LNK) qui déclenchent l’exécution d’une application HTML (HTA). Le payload HTA télécharge et exécute un script PowerShell qui déploie LaZagne pour récupérer des mots de passe stockés et GAMYBEAR, une porte dérobée en Go capable de recevoir, exécuter des commandes et transmettre les résultats via HTTP.

Points Clés:

• Utilisation de messageries instantanées (Signal, WhatsApp) comme vecteurs d’infection.
• Techniques d’ingénierie sociale, se faisant passer pour des organisations caritatives.
• Malware PLUGGYAPE capable d’exécuter du code arbitraire et de communiquer via WebSocket/MQTT.
• Récupération dynamique des adresses C2 à partir de services de paste pour une meilleure résilience.
• Utilisation de comptes et de communications légitimes pour l’approche initiale.
• Déploiement d’autres malwares comme FILEMESS, OrcaC2, LaZagne et GAMYBEAR dans des campagnes distinctes mais ciblées.

Vulnérabilités:

Aucune vulnérabilité spécifique avec des identifiants CVE n’est explicitement mentionnée dans l’article comme étant exploitée. L’attaque repose principalement sur des techniques d’ingénierie sociale, la distribution de malware via des liens et des archives, et l’exploitation de failles de sécurité humaines plutôt que de failles logicielles spécifiques.

Recommandations:

• Faire preuve de prudence face aux messages reçus via Signal, WhatsApp ou par e-mail, en particulier ceux contenant des liens ou des pièces jointes, même s’ils proviennent de contacts ou d’organisations connues.
• Vérifier méticuleusement l’authenticité des expéditeurs et des liens avant de cliquer ou de télécharger quoi que ce soit.
• Se méfier des offres ou des demandes trop belles pour être vraies, surtout dans le contexte de messages non sollicités.
• Mettre en œuvre et maintenir des solutions de sécurité robustes, incluant des antivirus et des systèmes de détection d’intrusion.
• Sensibiliser régulièrement les utilisateurs aux menaces de phishing et aux tactiques d’ingénierie sociale couramment utilisées par les acteurs malveillants.
• Utiliser des outils de sécurité permettant de détecter et de bloquer les communications avec des serveurs C2 connus ou suspects.
• Gérer de manière sécurisée les identifiants et les mots de passe, et envisager l’authentification multifacteur lorsque cela est possible.

Source