Entre octobre et décembre 2025, une campagne de cyberattaque ciblée a visé des responsables des forces de défense ukrainiennes en se déguisant en initiatives caritatives. Les assaillants ont exploité les messageries Signal et WhatsApp pour diffuser un backdoor malveillant nommé PluggyApe, capable d’établir un accès persistant aux systèmes compromis. Cette opération, documentée par les autorités ukrainiennes de cybersécurité, illustre une évolution des tactiques d’ingénierie sociale utilisées dans la cyberguerre moderne.
Attirer par le biais de l’altruisme
Les équipes de réponse aux incidents informatiques de l’Ukraine (CERT-UA) ont identifié une série d’attaques sophistiquées faisant appel à une tromperie basée sur des faux sites de fondations caritatives, invitant les destinataires à télécharger des documents prétendument utiles ou pertinents. Dans les messages, l’agresseur utilisait un discours convaincant en ukrainien et des liens vers des portails imitant des organisations bénévoles, envoyés par Signal ou WhatsApp. Le but était d’inciter des personnels sensibles à ouvrir une archive protégée par mot de passe censée contenir des informations, mais qui renferme en réalité une charge utile malveillante.
PluggyApe : une porte dérobée modulaire
Le cœur de cette campagne est un malware backdoor baptisé « PluggyApe », développé en Python et empilé avec PyInstaller pour fonctionner comme un exécutable Windows. Une fois lancé, il collecte des informations sur la machine (profil matériel, OS, identifiants uniques), établit une communication bidirectionnelle avec des serveurs de commande et contrôle (C2) à distance et attend et exécute des instructions envoyées par les opérateurs.
Plutôt que d’utiliser des adresses C2 codées en dur, PluggyApe récupère ces endpoints depuis des services publics (comme rentry.co ou pastebin.com) encodés en base64, ce qui rend le blocage et la détection plus ardus.
Une version plus récente du malware (depuis décembre 2025) intègre des fonctions de communication via MQTT (Message Queuing Telemetry Transport) et des mécanismes d’anti-analyse pour échapper aux environnements virtuels d’analyse, signe d’une montée en sophistication.
Vecteurs d’attaque : messageries et ingénierie sociale
L’originalité de cette opération réside dans l’utilisation de plateformes de messagerie chiffrée pour contourner les protections classiques des courriels et des réseaux. En exploitant des comptes légitimes ou des numéros de téléphone locaux, les assaillants ont rendu leurs messages très crédibles, combinant texte, audio ou vidéo dans la langue locale. Ce type de vecteur illustre une tendance croissante où les applications mobiles et les messageries deviennent des points d’entrée privilégiés pour des attaques ciblées, notamment contre des entités sensibles ou des personnels militaires.
Attribution : un groupe déjà connu
Selon les autorités ukrainiennes, cette campagne est attribuée avec confiance moyenne à un groupe de menaces associé à la Russie, connu sous les noms Void Blizzard et Laundry Bear (désignation UAC-0190). Ce collectif est déjà lié à d’autres opérations de cyberespionnage, y compris une compromission des systèmes internes de la police néerlandaise.
Cette offensive met en lumière plusieurs points essentiels pour les équipes de sécurité. L’ingénierie sociale se raffine en s’appuyant sur des thèmes humanitaires crédibles. Par ailleurs, les messageries chiffrées grand public ne sont pas immunisées contre l’usage malveillant. Enfin, la modularité et l’obfuscation des malwares contemporains compliquent la détection proactive. Pour les défenseurs, cela souligne l’importance de la sensibilisation des utilisateurs, la surveillance des vecteurs non traditionnels, et l’adoption de mécanismes capables de repérer les comportements anormaux au-delà des signatures classiques.
