Các tác nhân đe dọa đã triển khai một chiến dịch mã độc tinh vi nhắm vào các thành viên của Lực lượng Quốc phòng, khai thác các hoạt động từ thiện làm vỏ bọc cho các cuộc tấn công của chúng. Chiến dịch này sử dụng mã độc PLUGGYAPE, một backdoor được viết bằng Python, được thiết kế để xâm nhập vào các hệ thống quân sự.

Chiến dịch mã độc PLUGGYAPE nhắm vào Lực lượng Quốc phòng

Diễn ra trong khoảng thời gian từ tháng 10 đến tháng 12 năm 2025, chiến dịch đã phân phối PLUGGYAPE nhằm mục tiêu cụ thể là các nhân viên quân sự. Đây là ví dụ điển hình về cách các tác nhân đe dọa mạng ngày càng tận dụng kỹ thuật lừa đảo xã hội kết hợp với các câu chuyện từ thiện có vẻ hợp pháp để thâm nhập vào các mạng lưới phòng thủ được bảo mật cao.

Kỹ thuật lừa đảo xã hội và chuỗi lây nhiễm ban đầu

Chuỗi lây nhiễm ban đầu dựa trên việc thuyết phục mục tiêu truy cập các trang web quỹ từ thiện giả mạo thông qua các tin nhắn được gửi qua các ứng dụng nhắn tin tức thời.

Khi các nạn nhân truy cập vào các trang web lừa đảo này, họ được yêu cầu tải xuống những gì có vẻ là tài liệu hợp pháp. Tuy nhiên, các tệp này thực chất là các chương trình thực thi, thường được ngụy trang bằng các phần mở rộng kép như .docx.pif hoặc .pdf.exe và được đặt trong các kho lưu trữ được bảo vệ bằng mật khẩu để vượt qua các hệ thống phát hiện.

Phương pháp này hiệu quả vì giao diện hình ảnh mô phỏng các tài liệu xác thực mà nhân viên quân sự thường xuyên xử lý.

Xác định và phân tích từ CERT-UA

Các nhà phân tích của CERT-UA đã xác định được mã độc PLUGGYAPE sau khi điều tra kỹ lưỡng các đặc điểm kỹ thuật của chiến dịch. Các nhà nghiên cứu lưu ý rằng nhóm đe dọa, được theo dõi với tên gọi UAC-0190 và còn được biết đến với biệt danh Void Blizzard, có mức độ tin cậy trung bình về sự quy kết.

Các tác nhân đe dọa thể hiện sự hiểu biết sâu sắc về mục tiêu của chúng, sử dụng các tài khoản nhà mạng di động Ukraine hợp pháp và số điện thoại trong khi giao tiếp bằng tiếng Ukraine thông qua các ứng dụng nhắn tin phổ biến.

Xem thêm phân tích kỹ thuật từ CERT-UA tại CERT-UA Official Report.

Chi tiết kỹ thuật của mã độc PLUGGYAPE

Mã độc PLUGGYAPE hoạt động thông qua một cơ chế duy trì truy cập được thiết kế tốt, đảm bảo quyền truy cập lâu dài vào các hệ thống bị xâm nhập.

Cơ chế duy trì truy cập trên hệ thống bị xâm nhập

Khi được thực thi, PLUGGYAPE tạo ra một định danh thiết bị duy nhất bằng cách thu thập thông tin cơ bản của máy tính, bao gồm địa chỉ MAC, số serial BIOS, Disk ID và Processor ID.

Dữ liệu này được xử lý thông qua mã hóa SHA-256, với chỉ mười sáu byte đầu tiên được sử dụng làm dấu vân tay của thiết bị. Sau đó, backdoor tạo một mục đăng ký trong nhánh Windows Run, đảm bảo tự động thực thi bất cứ khi nào hệ thống bị nhiễm khởi động lại. Kỹ thuật này giảm thiểu rủi ro bảo mật do mất kết nối.

Kỹ thuật duy trì truy cập này đại diện cho một khía cạnh cơ bản trong thiết kế của mã độc PLUGGYAPE, vì các mục tiêu có thể ngoại tuyến trong thời gian dài và việc kích hoạt lại thủ công sẽ không thực tế.

Giao tiếp Command-and-Control (C2)

Giao tiếp với các máy chủ lệnh (C2) diễn ra thông qua web sockets hoặc giao thức MQTT, với tất cả dữ liệu được truyền tải ở định dạng JSON.

Các biến thể ban đầu của mã độc PLUGGYAPE kết nối trực tiếp với các địa chỉ IP được mã hóa cứng trong mã. Tuy nhiên, các nhà điều hành sau đó đã phát triển hạ tầng của chúng để ẩn các địa chỉ trên các dịch vụ dán công khai như Pastebin và Rentry, được mã hóa ở định dạng Base64. Điều này khiến việc phát hiện xâm nhập trở nên khó khăn hơn.

Sự phát triển của mã độc: PLUGGYAPE.V2

Đến tháng 12 năm 2025, một phiên bản cải tiến được gọi là PLUGGYAPE.V2 đã xuất hiện. Phiên bản này tích hợp các lớp làm rối mã (obfuscation) nâng cao và các kiểm tra bổ sung được thiết kế để phát hiện các môi trường máy ảo (VM).

Bản nâng cấp này cho thấy cam kết của các tác nhân đe dọa trong việc duy trì hiệu quả hoạt động chống lại các biện pháp phòng thủ ngày càng tinh vi được các đơn vị an ninh mạng áp dụng. Khả năng né tránh phát hiện VM cho thấy mức độ phức tạp cao, làm tăng nguy cơ chiếm quyền điều khiển hệ thống.

Các chỉ số thỏa hiệp (IOCs) đã biết

Dựa trên phân tích kỹ thuật, các chỉ số thỏa hiệp liên quan đến chiến dịch mã độc PLUGGYAPE bao gồm:

• Nhóm đe dọa: UAC-0190 (còn gọi là Void Blizzard)
• Biến thể mã độc: PLUGGYAPE, PLUGGYAPE.V2
• Kỹ thuật lây nhiễm: Trang web quỹ từ thiện giả mạo, tệp thực thi ngụy trang (ví dụ: .docx.pif, .pdf.exe) trong kho lưu trữ được bảo vệ bằng mật khẩu.
• Cơ chế duy trì: Ghi mục vào nhánh Windows Run.
• Giao thức C2: Web sockets, MQTT.
• Dữ liệu C2: Định dạng JSON.
• Hạ tầng C2: Các dịch vụ dán công khai (Pastebin, Rentry) chứa địa chỉ mã hóa Base64.