Malware PLUGGYAPE
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado una nueva oleada de ciberoperaciones dirigidas a entidades de defensa nacional. Estos ataques, observados entre octubre y diciembre de 2025, involucran una cepa de malware no documentada previamente, denominada PLUGGYAPE. La campaña pone de manifiesto la continua evolución tanto de las tácticas de ingeniería social como de la sofisticación técnica dirigida contra objetivos ucranianos.
Tabla de contenido
Atribución y perfil del actor de amenazas
La actividad se ha vinculado, con un nivel de confianza medio, a un grupo de hackers alineado con Rusia conocido como Void Blizzard, también conocido como Laundry Bear o UAC-0190. Las evaluaciones de inteligencia indican que el grupo ha estado activo desde al menos abril de 2024. Sus operaciones recientes demuestran un interés específico en entornos militares y de defensa.
La ingeniería social en el núcleo del acceso inicial
La cadena de infección no comienza con exploits, sino con engaños. Los actores de amenazas inician el contacto a través de plataformas de mensajería instantánea de amplia confianza, como Signal y WhatsApp. Haciéndose pasar por representantes de organizaciones benéficas, persuaden a las víctimas a abrir enlaces que conducen a sitios web humanitarios falsos, incluyendo dominios como harthulp-ua.com y charity-help.org. Estos sitios se hacen pasar por fundaciones legítimas y alojan archivos protegidos con contraseña que contienen la carga maliciosa.
Los atacantes recurren cada vez más a cuentas comprometidas o preparadas de forma convincente, vinculadas a operadores móviles ucranianos. Las comunicaciones se realizan en ucraniano y pueden incluir llamadas de voz o video. En muchos casos, el atacante demuestra un profundo conocimiento de los antecedentes, la organización y el contexto operativo de la víctima, lo que aumenta significativamente el éxito de la estrategia de ingeniería social.
Dentro de PLUGGYAPE: Capacidades y evolución del malware
Los archivos descargados implementan un ejecutable creado con PyInstaller, que instala la puerta trasera PLUGGYAPE. Escrito en Python, el malware permite a los operadores ejecutar código arbitrario de forma remota en sistemas infectados. Con el tiempo, las variantes más recientes han incorporado técnicas de ofuscación más robustas y mecanismos antianálisis diseñados para evitar su ejecución en entornos virtualizados o de investigación.
PLUGGYAPE se comunica con sus operadores mediante conexiones WebSocket y, a partir de diciembre de 2025, también es compatible con el protocolo MQTT, lo que amplía su flexibilidad y resiliencia. Este canal de comunicación permite un control persistente sobre los hosts comprometidos y facilita la rápida ejecución de tareas por parte de los atacantes.
Resiliencia de mando y control y seguridad operativa
En lugar de incrustar las direcciones de los servidores de control directamente en el malware, los operadores obtienen los endpoints de Comando y Control de servicios de pegado públicos como rentry.co y pastebin.com. Estas direcciones se almacenan codificadas en base64, lo que permite a los atacantes cambiar rápidamente la infraestructura sin tener que redistribuir el malware. Este enfoque complica las tareas de desmantelamiento y mejora la continuidad operativa si se detectan e interrumpen servidores conocidos.
Un cambio más amplio hacia la entrega de amenazas basada en mensajería
CERT-UA enfatiza que las aplicaciones de mensajería populares, tanto en dispositivos móviles como en computadoras personales, se están convirtiendo rápidamente en los principales canales de distribución de ciberamenazas. Su ubicuidad, combinada con la confianza del usuario y la interacción en tiempo real, las convierte en plataformas especialmente eficaces para distribuir herramientas maliciosas y manipular a las víctimas.
