O Computer Emergency Response Team da Ucrânia (CERT-UA) divulgou detalhes de novos ataques cibernéticos direcionados às suas forças de defesa entre outubro e dezembro de 2025, envolvendo o malware conhecido como PLUGGYAPE.
Com grau médio de confiança, a atividade foi atribuída a um grupo russo de hackers identificado como Void Blizzard (também chamado Laundry Bear ou UAC-0190), ativo desde pelo menos abril de 2024.
As campanhas utilizam os aplicativos de mensagens instantâneas Signal e WhatsApp como vetores, com os invasores se passando por organizações de caridade para enganar as vítimas.
Eles enviam links aparentemente inofensivos — como “harthulp-ua[.]com” ou “solidarity-help[.]org” — que imitam fundações reais e levam ao download de arquivos compactados protegidos por senha.
Esses arquivos contêm um executável criado com PyInstaller, que instala o backdoor PLUGGYAPE.
O CERT-UA destacou que as versões sucessivas da ameaça incorporaram técnicas de ofuscação e verificações anti-análise, dificultando a execução em ambientes virtuais.
Desenvolvido em Python, o PLUGGYAPE estabelece comunicação com servidores remotos via WebSocket ou MQTT (Message Queuing Telemetry Transport), permitindo que os operadores executem comandos arbitrários nas máquinas comprometidas.
Em dezembro de 2025, foi adicionada a capacidade de comunicação pelo protocolo MQTT.
Os endereços dos servidores de comando e controle (C2) são recuperados a partir de serviços externos de armazenamento de texto, como rentry[.]co e pastebin[.]com, onde ficam codificados em base64.
Essa estratégia evita que os domínios estejam incorporados diretamente no malware, facilitando atualizações rápidas e mantendo a infraestrutura resiliente diante de possíveis desativações.
Segundo o CERT-UA, “a interação inicial com o alvo é frequentemente realizada por meio de contas legítimas e números telefônicos de operadoras móveis ucranianas, utilizando o idioma local, comunicação por áudio e vídeo, além de conhecimento detalhado sobre o indivíduo, a organização e suas operações.”
Além disso, os mensageiros populares em dispositivos móveis e computadores pessoais vêm se tornando canais predominantes para a entrega de ferramentas de ataque.
Nos últimos meses, a agência também identificou uma campanha do grupo UAC-0239 que enviou e-mails de phishing originados dos domínios UKR[.]net e de contas Gmail.
Esses e-mails continham links para arquivos VHD ou anexos diretos que espalham o stealer FILEMESS, desenvolvido em Go para coletar arquivos com extensões específicas e enviá-los via Telegram.
A operação também utilizou o framework open-source OrcaC2, que permite manipulação do sistema, transferência de arquivos, captura de teclas e execução remota de comandos.
Os alvos foram as forças de defesa e órgãos governamentais ucranianos.
Outro grupo, identificado como UAC-0241, lançou campanhas de spear-phishing contra instituições educacionais e órgãos públicos, usando arquivos ZIP com atalhos do Windows (LNK).
Ao abrir o atalho, executava-se uma aplicação HTML (HTA) via “mshta.exe”, que rodava scripts JavaScript para baixar e executar um script PowerShell.
Esse script entregava a ferramenta open-source LaZagne, para recuperação de senhas armazenadas, e um backdoor em Go apelidado GAMYBEAR, capaz de receber comandos remotos e enviar respostas codificadas em base64 via HTTP.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...