2025年10月から12月にかけて、慈善団体を装ったキャンペーンにより、ウクライナ国防軍の関係者が標的となり、PluggyApeと呼ばれるバックドア型マルウェアが配布されました。
ウクライナのCERTは報告書の中で、攻撃は「Void Blizzard」および「Laundry Bear」として知られるロシアの脅威グループによって実行された可能性が高いものの、帰属については中程度の確度にとどまると述べています。
Laundry Bearは、2024年にオランダ警察の 内部システムを侵害し、警察官に関する機微情報を窃取したのと同じ脅威グループです。
このハッカーは、ロシアの利益に沿った攻撃でNATO加盟国に焦点を当てることで知られており、ファイルやメールを盗み出します。
CERT-UAが観測した攻撃は、SignalまたはWhatsAppでのインスタントメッセージから始まり、受信者に対して慈善財団が運営しているとされるウェブサイトを訪問し、関心を引く文書が入っているはずのパスワード保護されたアーカイブをダウンロードするよう促します。
出典: CERT-UA
しかし実際には、アーカイブには実行可能なPIFファイル(.docx.pif)とPluggyApeのペイロードが含まれており、これらはメッセージング アプリを通じて直接送られることもあります。
なお、この悪意のあるPIFファイルは、Pythonアプリケーションを必要な依存関係をすべて含む単一パッケージにまとめるためのPyInstaller オープンソースツールを用いて作成された実行ファイルです。
出典: CERT-UA
PluggyApeはバックドアで、ホストのプロファイリングを行い、固有の被害者識別子を含む情報を攻撃者に送信した後、コード実行コマンドを待機します。Windowsレジストリの改変により永続化を実現します。
PluggyApeを用いた以前の攻撃では、脅威アクターはローダーに「.pdf.exe」という拡張子を使用していました。2025年12月以降、彼らはPIFとPluggyApeバージョン2に切り替えており、より優れた難読化、MQTTベースの通信、そしてより多くの解析回避チェックを備えています。
ウクライナ当局はまた、PluggyApeが、柔軟性の低いハードコードされたエントリを使用するのではなく、rentry.coやpastebin.comといった外部ソースからコマンド&コントロール(C2)アドレスを取得すると報告しています。これらはbase64でエンコードされた形式で公開されています。
出典: CERT-UA
CERT-UAは、この種の攻撃においてモバイル端末が主要な標的になっていると警告しています。一般に、モバイル端末は保護や監視が不十分であるためです。
これに、侵害されたアカウントやウクライナの通信事業者の電話番号を利用するといった周到な攻撃準備が組み合わさると、攻撃は非常に説得力のあるものになり得ます。
「サイバー攻撃の標的との初期のやり取りは、正規のアカウント、ウクライナの携帯通信事業者の電話番号、そして音声・映像によるコミュニケーションを含むウクライナ語を用いて行われるケースが増えています」と、CERT-UAは説明しています。
「攻撃者は、個人、組織、そしてその業務の具体的な内容について、詳細かつ関連性の高い知識を示す場合があります。」
慈善ポータルを装った欺瞞的なウェブサイトを含む侵害指標(IoC)の完全な一覧は、CERT-UAの報告書の末尾に掲載されています。
