كشفت وحدة الاستجابة الطارئة للحوادث الإلكترونية في أوكرانيا (CERT-UA) عن تفاصيل هجمات سيبرانية جديدة استهدفت القوات الدفاعية الأوكرانية بين أكتوبر وديسمبر 2025 باستخدام برمجية خبيثة تحمل اسم PLUGGYAPE. هذه الهجمات اعتمدت على تطبيقات المراسلة الفورية مثل واتساب وسيغنال كقنوات رئيسية لنشر البرمجية، حيث تنكّر المهاجمون في صورة منظمات خيرية لإقناع الضحايا بتحميل ملفات مضغوطة محمية بكلمة مرور من روابط مزيفة مثل: harthulp-ua[.]com وsolidarity-help[.]org.
الملفات كانت تحتوي على برنامج تنفيذي تم إنشاؤه باستخدام أداة PyInstaller، والذي يؤدي في النهاية إلى تثبيت البرمجية الخبيثة. وأوضحت CERT-UA أن النسخ المتعاقبة من هذه البرمجية أضافت تقنيات إخفاء وتعقيد تمنع تحليلها أو تشغيلها في بيئات افتراضية، ما يزيد من صعوبة اكتشافها.
هوية المهاجمين وتقنيات التحكم
الهجمات نُسبت – بدرجة ثقة متوسطة – إلى مجموعة قرصنة روسية تُعرف باسم Void Blizzard أو Laundry Bear (UAC-0190)، والتي يُعتقد أنها نشطة منذ أبريل 2024. البرمجية مكتوبة بلغة Python وتتيح للمهاجمين التواصل مع خوادم بعيدة عبر بروتوكولات WebSocket أو MQTT، ما يمنحهم القدرة على تنفيذ أوامر عشوائية على الأجهزة المصابة. اللافت أن دعم بروتوكول MQTT أُضيف في ديسمبر 2025، مما يعكس تطوراً مستمراً في قدرات البرمجية.
كما أن عناوين التحكم والسيطرة (C2) لا تُخزّن مباشرة داخل الكود، بل تُسترجع من خدمات خارجية مثل rentry[.]co وpastebin[.]com حيث تُخزّن بشكل مشفّر بصيغة Base64. هذه الآلية تمنح المهاجمين مرونة عالية في تغيير البنية التحتية بسرعة عند اكتشافها أو تعطيلها، ما يعزز من قدرتهم على الاستمرار في العمليات.
أساليب الإقناع والاختراق
أشارت CERT-UA إلى أن المهاجمين يستخدمون حسابات وأرقام هواتف شرعية من شبكات الاتصالات الأوكرانية، ويتواصلون بلغة أوكرانية مصحوبة بمكالمات صوتية ومرئية، ويظهرون معرفة دقيقة بالضحايا ومؤسساتهم. هذا الأسلوب يعكس مستوى عالياً من التحضير الاستخباراتي ويزيد من احتمالية نجاح الهجمات.
وأكدت الوكالة أن تطبيقات المراسلة الشائعة على الهواتف والحواسيب أصبحت عملياً القناة الأكثر استخداماً لنشر أدوات التهديد السيبراني، وهو ما يفرض تحديات كبيرة على الدفاعات الرقمية التقليدية.
حملات موازية وأدوات إضافية
لم تقتصر الهجمات على PLUGGYAPE، إذ كشفت CERT-UA عن نشاط مجموعة أخرى تُعرف بـ UAC-0239، والتي أرسلت رسائل تصيّد عبر بريد UKR[.]net وGmail تحتوي على روابط لملفات VHD أو مرفقات مباشرة. هذه الملفات تؤدي إلى تثبيت برمجية FILEMESS المكتوبة بلغة Go، والمصممة لسرقة الملفات ذات الامتدادات المحددة وإرسالها عبر تطبيق تيليغرام.
كما استخدم المهاجمون إطار عمل مفتوح المصدر للتحكم عن بُعد يُدعى OrcaC2، يتيح نقل الملفات، تسجيل ضغطات لوحة المفاتيح، وتنفيذ أوامر عن بُعد. وقد استهدفت هذه الأنشطة القوات الأوكرانية والحكومات المحلية.
إلى جانب ذلك، تعرضت المؤسسات التعليمية والسلطات الحكومية لهجمات spear-phishing نفذتها مجموعة UAC-0241، حيث تضمنت رسائلهم ملفات ZIP تحتوي على اختصارات (LNK) تؤدي إلى تشغيل تطبيقات HTML (HTA) عبر أداة mshta.exe. هذه التطبيقات تُطلق شيفرات JavaScript لتحميل وتنفيذ سكربتات PowerShell، والتي بدورها تُثبّت أداة مفتوحة المصدر LaZagne لاستعادة كلمات المرور المخزنة، إضافة إلى باب خلفي مكتوب بلغة Go يُعرف باسم GAMYBEAR قادر على استقبال وتنفيذ أوامر وإرسال نتائجها مشفرة بصيغة Base64 عبر بروتوكول HTTP.
