L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a révélé des détails sur de nouvelles cyberattaques visant ses forces de défense à l’aide d’un logiciel malveillant connu sous le nom de PLUGGYAPE entre octobre et décembre 2025.

Cette activité a été attribuée avec un degré de confiance moyen à un groupe de pirates informatiques russes identifié sous le nom de Void Blizzard (également connu sous les noms de Laundry Bear ou UAC-0190). Ce groupe serait actif depuis au moins avril 2024.

Les chaînes d’attaques distribuant le logiciel malveillant exploitent les messageries instantanées Signal et WhatsApp comme vecteurs, les acteurs de la menace se faisant passer pour des organisations caritatives afin de convaincre les cibles de cliquer sur un lien apparemment inoffensif (« harthulp-ua[.]com » ou « solidarity-help[.]org ») imitant la fondation et de télécharger une archive protégée par mot de passe.

Les archives contiennent un exécutable créé avec PyInstaller, qui a permis le déploiement de PLUGGYAPE. Le CERT-UA a indiqué que les versions successives de cette porte dérobée ont intégré des mécanismes d’obfuscation et des contrôles anti-analyse afin d’empêcher l’exécution des artefacts dans un environnement virtuel.

Écrit en Python, PLUGGYAPE établit une communication avec un serveur distant via WebSocket ou MQTT (Message Queuing Telemetry Transport), permettant ainsi aux opérateurs d’exécuter du code arbitraire sur des hôtes compromis. La prise en charge du protocole MQTT a été ajoutée en décembre 2025.

De plus, les adresses de commande et de contrôle (C2) sont récupérées auprès de services de partage de contenu externes tels que rentry[.]co et pastebin[.]com, où elles sont stockées au format base64, au lieu d’être directement intégrées au code du logiciel malveillant. Ceci permet aux attaquants de maintenir la sécurité et la résilience opérationnelles , et de mettre à jour les serveurs C2 en temps réel si l’infrastructure d’origine est détectée et neutralisée.

« L’interaction initiale avec la cible d’une cyberattaque se fait de plus en plus souvent à l’aide de comptes légitimes et de numéros de téléphone d’opérateurs mobiles ukrainiens, en utilisant la langue ukrainienne, la communication audio et vidéo, et l’attaquant peut démontrer une connaissance détaillée et pertinente de l’individu, de l’organisation et de ses opérations », a déclaré le CERT-UA.

« Les messageries instantanées largement utilisées sur les appareils mobiles et les ordinateurs personnels deviennent de facto le canal le plus courant pour la diffusion d’outils logiciels à l’origine de cybermenaces. »

Ces derniers mois, l’agence de cybersécurité a également révélé qu’un groupe de menaces suivi sous le nom d’UAC-0239 envoyait des courriels d’hameçonnage depuis des adresses UKR[.]net et Gmail contenant des liens vers un fichier VHD (ou directement en pièce jointe) qui ouvre la voie à un voleur basé sur Go nommé FILEMESS qui collecte des fichiers correspondant à certaines extensions et les exfiltre vers Telegram.

Un framework C2 open source appelé OrcaC2 , permettant la manipulation du système, le transfert de fichiers, l’enregistrement des frappes au clavier et l’exécution de commandes à distance, a également été dérobé. Cette activité aurait ciblé les forces de défense ukrainiennes et les autorités locales.

Les établissements d’enseignement et les autorités étatiques en Ukraine ont également été la cible d’une autre campagne de spear-phishing orchestrée par UAC-0241 qui exploite des archives ZIP contenant un fichier de raccourci Windows (LNK), dont l’ouverture déclenche l’exécution d’une application HTML (HTA) utilisant « mshta.exe ».

La charge utile HTA, à son tour, lance un script JavaScript conçu pour télécharger et exécuter un script PowerShell, qui délivre ensuite un outil open-source appelé LaZagne pour récupérer les mots de passe stockés et une porte dérobée Go nommée GAMYBEAR capable de recevoir et d’exécuter des commandes entrantes d’un serveur et de renvoyer les résultats sous forme encodée en Base64 via HTTP.