Trung tâm ứng cứu khẩn cấp của Ukraine (CERT-UA) cho biết trong một báo cáo rằng, các cuộc tấn công do nhóm tin tặc có tên gọi Void Blizzard và Laundry Bear thực hiện. Được biết, Laundry Bear là nhóm tin tặc từng gây ra vụ xâm nhập hệ thống nội bộ của cảnh sát Hà Lan vào năm 2024 và đánh cắp thông tin nhạy cảm về các sĩ quan. Các tin tặc này nổi tiếng với việc tập trung mục tiêu vào các quốc gia thành viên Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) trong các cuộc chiến dịch tấn công nhằm đánh cắp các tệp tin và email.
Các cuộc tấn công mà CERT-UA ghi nhận bắt đầu bằng tin nhắn tức thời qua Signal hoặc WhatsApp, yêu cầu người nhận truy cập một trang web được cho là do một tổ chức từ thiện điều hành, đồng thời tải xuống một tệp lưu trữ có mật khẩu, được cho là chứa các tài liệu quan trọng.
Tin nhắn độc hại dùng để dụ dỗ người dùng
Các kho lưu trữ chứa các tệp PIF có thể thực thi (.docx.pif) và phần mềm độc hại PluggyApe, đôi khi có thể được gửi trực tiếp thông qua ứng dụng nhắn tin. Theo các nhà nghiên cứu, tệp tin PIF độc hại là một tệp thực thi được tạo bằng công cụ mã nguồn mở PyInstaller dùng để đóng gói các ứng dụng Python vào một gói duy nhất chứa tất cả các phụ thuộc cần thiết.
Trang web từ thiện giả mạo
PluggyApe là một backdoor có khả năng thu thập thông tin về máy chủ, gửi thông tin cho kẻ tấn công, bao gồm cả mã định danh nạn nhân, sau đó chờ lệnh thực thi mã, nó duy trì hoạt động bằng cách sửa đổi Registry của Windows.
Trong các cuộc tấn công trước đây bằng PluggyApe, tin tặc đã sử dụng phần mở rộng “.pdf.exe” cho loader. Bắt đầu từ tháng 12/2025, chúng chuyển sang PIF và PluggyApe phiên bản 2. Các nhà nghiên cứu cho biết, phiên bản này có khả năng che giấu tốt hơn, giao tiếp dựa trên MQTT và nhiều bước kiểm tra chống phân tích hơn.
Cơ quan tình báo Ukraine cũng báo cáo rằng PluggyApe lấy địa chỉ máy chủ điều khiển và ra lệnh (C2) từ các nguồn bên ngoài như rentry.co và pastebin.com, nơi chúng được công bố dưới dạng mã hóa base64, thay vì sử dụng các mục được mã hóa cứng kém linh hoạt hơn.
.png)
Mã nguồn phần mềm độc hại
CERT-UA cảnh báo các thiết bị di động đã trở thành mục tiêu chính trong các cuộc tấn công kiểu này, vì chúng thường được bảo vệ và giám sát kém. Khi kết hợp với sự chuẩn bị các kịch bản kỹ lưỡng hơn, chẳng hạn như sử dụng tài khoản hoặc số điện thoại bị xâm phạm của các nhà mạng viễn thông Ukraine, các cuộc tấn công có thể trở nên rất thuyết phục.
“Việc tương tác ban đầu với mục tiêu của một cuộc tấn công mạng ngày càng được thực hiện bằng cách sử dụng các tài khoản hợp pháp, số điện thoại của các nhà mạng di động và tiếng Ukraine, bao gồm cả giao tiếp bằng âm thanh và video”, CERT-UA giải thích.
