El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de nuevos ataques cibernéticos dirigidos a sus fuerzas de defensa con malware conocido como PLUGGYAPE entre octubre y diciembre de 2025.
La actividad se ha atribuido con un nivel de confianza medio a un grupo de hackers ruso rastreado como Ventisca del Vacío (también conocido como Laundry Bear o UAC-0190). Se cree que el actor de amenazas está activo desde al menos abril de 2024.
Las cadenas de ataque que distribuyen el malware aprovechan la mensajería instantánea Signal y WhatsApp como vectores, y los actores de la amenaza se hacen pasar por organizaciones benéficas para convencer a los objetivos de que hagan clic en un enlace aparentemente inofensivo («harthulp-ua(.)com» o «solidarity-help(.)org») haciéndose pasar por la fundación y descarguen un archivo protegido con contraseña.
Los archivos contienen un ejecutable creado con PyInstaller que finalmente condujo a la implementación de PLUGGYAPE. CERT-UA dijo que las sucesivas iteraciones de la puerta trasera han agregado controles de ofuscación y antianálisis para evitar que los artefactos se ejecuten en un entorno virtual.
Escrito en Python, PLUGGYAPE establece comunicación con un servidor remoto a través de WebSocket o Message Queuing Telemetry Transport (MQTT), lo que permite a los operadores ejecutar código arbitrario en hosts comprometidos. En diciembre de 2025 se agregó soporte para la comunicación mediante el protocolo MQTT.
Además, las direcciones de comando y control (C2) se recuperan de servicios de pegado externos como rentry(.)co y pastebin(.)com, donde se almacenan en formato codificado en base64, en lugar de codificar directamente el dominio en el propio malware. Esto brinda a los atacantes la capacidad de mantener la seguridad y la resiliencia operativas, lo que les permite actualizar los servidores C2 en tiempo real en escenarios en los que se detecta y desactiva la infraestructura original.
«La interacción inicial con el objetivo de un ciberataque se lleva a cabo cada vez más utilizando cuentas legítimas y números de teléfono de operadores móviles ucranianos, con el uso del idioma ucraniano, comunicación de audio y video, y el atacante puede demostrar un conocimiento detallado y relevante sobre el individuo, la organización y sus operaciones», dijo CERT-UA.
«Los mensajeros ampliamente utilizados disponibles en dispositivos móviles y computadoras personales se están convirtiendo de facto en el canal más común para entregar herramientas de software para amenazas cibernéticas».
En los últimos meses, la agencia de ciberseguridad también ha revelado que un grupo de amenazas rastreado como UAC-0239 envió correos electrónicos de phishing desde direcciones UKR(.)net y Gmail que contienen enlaces a un archivo VHD (o directamente como un archivo adjunto) que allana el camino para un ladrón basado en Go llamado FILEMESS que recopila archivos que coinciden con ciertas extensiones y los exfiltra a Telegram.
También se lanzó un marco C2 de código abierto llamado OrcaC2 que permite la manipulación del sistema, la transferencia de archivos, el registro de teclas y la ejecución remota de comandos. Se dice que la actividad tuvo como objetivo las fuerzas de defensa y los gobiernos locales de Ucrania.
Las instituciones educativas y las autoridades estatales de Ucrania también han sido objeto de otra campaña de phishing orquestada por UAC-0241 que aprovecha archivos ZIP que contienen un archivo de acceso directo de Windows (LNK), cuya apertura desencadena la ejecución de una aplicación HTML (HTA) utilizando «mshta.exe».
La carga útil de HTA, a su vez, lanza JavaScript diseñado para descargar y ejecutar un script de PowerShell, que luego entrega una herramienta de código abierto llamada LaZagne para recuperar contraseñas almacenadas y una puerta trasera Go con nombre en código GAMYBEAR que puede recibir y ejecutar comandos entrantes desde un servidor y transmitir los resultados en formato codificado en Base64 a través de HTTP.