PLUGGYAPE Malware
Das ukrainische Computer-Notfallteam (CERT-UA) hat eine neue Welle von Cyberangriffen auf nationale Verteidigungseinrichtungen aufgedeckt. Diese Angriffe, die zwischen Oktober und Dezember 2025 beobachtet wurden, nutzen eine bisher unbekannte Malware-Variante namens PLUGGYAPE. Die Kampagne verdeutlicht die kontinuierliche Weiterentwicklung sowohl der Social-Engineering-Taktiken als auch der technischen Raffinesse von Angriffen auf ukrainische Ziele.
Inhaltsverzeichnis
Attributions- und Bedrohungsakteurprofil
Die Aktivitäten werden mit mittlerer Wahrscheinlichkeit einer russisch-nahen Hackergruppe namens Void Blizzard zugeordnet, die auch unter den Namen Laundry Bear oder UAC-0190 bekannt ist. Geheimdiensterkenntnisse deuten darauf hin, dass die Gruppe mindestens seit April 2024 aktiv ist. Ihre jüngsten Operationen zeigen ein besonderes Interesse an militärischen und verteidigungsrelevanten Bereichen.
Social Engineering im Zentrum des Erstzugriffs
Die Infektionskette beginnt nicht mit Sicherheitslücken, sondern mit Täuschung. Angreifer nehmen über weit verbreitete und vertrauenswürdige Instant-Messaging-Plattformen wie Signal und WhatsApp Kontakt auf. Sie geben sich als Vertreter von Hilfsorganisationen aus und verleiten Opfer dazu, Links zu gefälschten humanitären Webseiten zu öffnen, darunter Domains wie harthulp-ua.com und solidary-help.org. Diese Seiten geben sich als legitime Stiftungen aus und beherbergen passwortgeschützte Archive, die die Schadsoftware enthalten.
Die Angreifer nutzen zunehmend kompromittierte oder überzeugend erstellte Konten ukrainischer Mobilfunkanbieter. Die Kommunikation erfolgt auf Ukrainisch und kann Sprach- oder Videoanrufe umfassen. In vielen Fällen zeigt der Angreifer detaillierte Kenntnisse über den Hintergrund, die Organisation und den operativen Kontext des Opfers, was die Erfolgsaussichten des Social-Engineering-Angriffs deutlich erhöht.
Im Inneren von PLUGGYAPE: Malware-Fähigkeiten und Evolution
Die heruntergeladenen Archive enthalten eine mit PyInstaller erstellte ausführbare Datei, die die Backdoor PLUGGYAPE installiert. Die in Python geschriebene Malware ermöglicht es Angreifern, beliebigen Code auf infizierten Systemen auszuführen. Neuere Varianten verfügen über stärkere Verschleierungstechniken und Anti-Analyse-Mechanismen, die die Ausführung in virtualisierten Umgebungen oder Forschungsumgebungen verhindern sollen.
PLUGGYAPE kommuniziert mit seinen Betreibern über WebSocket-Verbindungen und unterstützt ab Dezember 2025 auch das MQTT-Protokoll, wodurch seine Flexibilität und Ausfallsicherheit erhöht werden. Dieser Kommunikationskanal ermöglicht die dauerhafte Kontrolle über kompromittierte Hosts und erleichtert Angreifern die schnelle Ausführung von Aufgaben.
Resilienz der Führungs- und Kontrollsysteme und operative Sicherheit
Anstatt die Adressen der Kontrollserver direkt in die Schadsoftware einzubetten, beziehen die Angreifer Command-and-Control-Endpunkte von öffentlichen Pastebin-Diensten wie rentry.co und pastebin.com. Diese Adressen werden Base64-kodiert gespeichert, wodurch die Angreifer die Infrastruktur schnell ändern können, ohne die Schadsoftware erneut einsetzen zu müssen. Dieser Ansatz erschwert die Bekämpfung und verbessert die Betriebskontinuität, falls bekannte Server entdeckt und gestört werden.
Eine umfassendere Verlagerung hin zur Übermittlung von Bedrohungen über Messenger-Dienste
CERT-UA betont, dass gängige Messaging-Apps auf Mobilgeräten und PCs sich rasant zu Hauptkanälen für die Verbreitung von Cyberbedrohungen entwickeln. Ihre weite Verbreitung, das Vertrauen der Nutzer und die Möglichkeit zur Echtzeitinteraktion machen sie zu besonders effektiven Plattformen für die Bereitstellung von Schadsoftware und die Manipulation von Opfern.
