Ukraines army targeted in new charity-themed malware campaign

Campagne d’hameçonnage ciblée sur l’armée ukrainienne

Une campagne de maliciel baptisée “PluggyApe” a ciblé des responsables de l’armée ukrainienne entre octobre et décembre 2025. Cette campagne utilisait des prétextes humanitaires pour inciter les victimes à télécharger des archives malveillantes. Les attaques étaient menées via des messages instantanés sur Signal ou WhatsApp, dirigeant les victimes vers des sites web se présentant comme des fondations caritatives. Les fichiers exécutables déguisés, souvent des archives protégées par mot de passe, contenaient le maliciel PluggyApe.

Il est suspecté que le groupe de menaces russe “Void Blizzard” (également connu sous le nom de “Laundry Bear”), déjà impliqué dans une intrusion au sein de la police néerlandaise, soit à l’origine de ces attaques. Ce groupe cible fréquemment les pays membres de l’OTAN dans le but d’espionnage.

Points clés :

• Attaque par hameçonnage caritatif : Utilisation de faux prétextes humanitaires pour distribuer des maliciels.
• Cible : Responsables de l’armée ukrainienne.
• Période : Octobre à décembre 2025.
• Maliciel : PluggyApe, un cheval de Troie (backdoor) avancé.
• Acteur suspecté : Void Blizzard / Laundry Bear (groupe de menaces russe).
• Méthode de livraison : Messages sur Signal/WhatsApp, faux sites web de charité, archives exécutables (.docx.pif).
• Évolution du maliciel : Version 2 de PluggyApe intègre une meilleure obfuscation, une communication MQTT et des contrôles anti-analyse renforcés.
• Technique d’infrastructure C2 : Utilisation de plateformes comme rentry.co et pastebin.com pour récupérer les adresses des serveurs de commande et contrôle.
• Ciblage des appareils mobiles : Les appareils mobiles sont considérés comme des cibles privilégiées en raison de leur sécurité souvent moindre.
• Sophistication des attaques : Utilisation de comptes légitimes, de numéros de téléphone d’opérateurs ukrainiens et de connaissance approfondie des cibles pour rendre les attaques plus convaincantes.

Vulnérabilités exploitées :

Bien que l’article ne détaille pas de CVE spécifiques, les vulnérabilités exploitées sont principalement :

• La confiance des utilisateurs dans les messages et les sites web prétendant être des organisations caritatives.
• La faible sécurité des appareils mobiles et le manque de surveillance.
• L’utilisation de fichiers exécutables déguisés (PIF, faux PDF) qui peuvent contourner certaines protections de fichiers.

Recommandations :

Les recommandations implicites ou explicites dans l’article incluent :

• Vigilance accrue face aux messages non sollicités : Soyez sceptique face aux demandes inattendues, même si elles proviennent d’une source apparemment légitime, surtout lorsqu’elles impliquent le téléchargement de fichiers.
• Vérification des sources : Avant de cliquer sur des liens ou de télécharger des fichiers, vérifiez l’authenticité du site web et de l’expéditeur.
• Utilisation de solutions de sécurité robustes : Maintenez à jour les logiciels antivirus, antimalware et les pare-feu sur tous les appareils.
• Sensibilisation à la cybersécurité : Formez le personnel aux techniques d’hameçonnage et aux risques associés.
• Mise en place de politiques de sécurité claires : Établissez des directives pour la manipulation des e-mails, des messages et des téléchargements.
• Surveillance des communications : Soyez attentif aux communications inhabituelles ou suspectes, surtout lorsqu’elles concernent des sujets sensibles.
• Sécurisation des appareils mobiles : Assurez-vous que les appareils mobiles utilisés à des fins professionnelles sont correctement sécurisés (mots de passe forts, mises à jour régulières, etc.).

Source