🔎 Cyberveille

Résumé exécutif :

• Campagne ciblée : Entre octobre et décembre 2025, plusieurs cyberattaques ciblées ont visé des membres des Forces de défense de l’Ukraine en se faisant passer pour des organisations caritatives. Ces attaques ont conduit à l’implantation d’un maliciel (malware) nommé PLUGGYAPE sur les systèmes victimes.
• Attribution : Sur la base de caractéristiques observées, ces opérations malveillantes sont attribuées avec un niveau de confiance moyen à un groupe affilié à la Russie, connu sous le nom de Void Blizzard (alias Laundry Bear), suivi par l’identifiant UAC-0190.
• Mode opératoire : Les attaquants ont utilisé des comptes légitimes et des numéros de téléphone ukrainiens pour contacter leurs cibles via des messageries instantanées (messages texte, audio et vidéo en ukrainien). Ils incitent la cible à visiter des sites web frauduleux imitant des fondations caritatives, où sont proposés de faux « documents » à télécharger – en réalité des fichiers exécutables dissimulés dans des archives protégées par mot de passe. Dans certains cas, le fichier malveillant est envoyé directement par messagerie, sous la forme d’un fichier à double extension trompeuse (par ex. .docx.pif).
• Charge utile (payload) : Le fichier exécutable malveillant identifié (souvent avec extension .pif) est un programme Windows empaqueté via PyInstaller, qui déploie la porte dérobée PLUGGYAPE. Une variante précédente observée en octobre 2025 utilisait un fichier .pdf.exe agissant en tant que loader pour télécharger un interpréteur Python et une version initiale du backdoor depuis Pastebin. À partir de décembre 2025, une version améliorée PLUGGYAPE.V2 a été déployée : obfusquée, utilisant le protocole MQTT pour les communications C2 et intégrant des mécanismes d’anti-analyse (détection d’environnement virtuel, etc.).