文章总结： 乌克兰CERT-UA披露俄罗斯APT组织VoidBlizzard利用PLUGGYAPE恶意软件攻击国防部队。攻击者通过社交工程诱导目标下载伪装文件。该后门基于Python，利用WebSocket通信实现持久化与远程控制。攻击正滥用即时通讯软件传播。建议加强员工安全意识及对即时通讯文件的监控。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,应急响应,漏洞预警

俄罗斯APT组织利用PLUGGYAPE恶意软件攻击乌克兰国防部队

FreeBuf

2026年1月15日 18:37 上海

乌克兰计算机应急响应小组（CERT-UA）近日披露，乌克兰国防部队遭受新型网络攻击，攻击者使用PLUGGYAPE恶意软件。政府专家以中等可信度将该攻击归因于俄罗斯关联组织Void Blizzard（又名Laundry Bear、UAC-0190），该组织自2024年起持续活跃。

Part01

攻击链始于社交工程

攻击者通过即时通讯应用联系目标，诱骗其访问伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的”文档”，实则为恶意可执行文件。这些文件通常存放在密码保护的压缩包内，或直接通过聊天工具发送，使用”.docx.pif”等误导性扩展名伪装成无害文件。

Part02

PLUGGYAPE后门技术分析

当受害者打开文件时，会运行一个基于Python并用PyInstaller打包的程序。该程序安装PLUGGYAPE后门，使攻击者获得受感染系统的远程访问权限。

CERT-UA报告指出：”在至少五个攻击活动中，相关PIF文件都是使用PyInstaller创建的可执行文件。底层软件代码采用Python编程语言开发，被归类为PLUGGYAPE后门。值得注意的是，2025年10月攻击者曾使用’.pdf.exe’扩展名文件，该文件会启动一个加载器，用于下载Python解释器以及（从Pastebin资源获取）早期版本的PLUGGYAPE Python文件。”

Part03

恶意软件持续进化

PLUGGYAPE是基于Python的工具，通过WebSockets或MQTT连接命令服务器，以JSON格式交换数据。它会收集系统标识符，使用SHA-256算法生成唯一设备ID，执行从服务器接收的代码，并通过将自己添加到系统Run注册表项实现持久化驻留。

Part04

网络威胁态势演变

CERT-UA强调：”网络威胁态势正在持续演变。特别值得注意的是，攻击者越来越多地使用合法账户、乌克兰移动运营商电话号码进行初始接触，同时使用乌克兰语及音视频通信，并能展示关于个人、组织及其运作特征的详细相关知识。安装在移动设备和个人电脑上的主流即时通讯软件，实际上已成为传播网络威胁工具的最常见渠道。”

Part05

相关背景信息

2024年5月，荷兰情报安全总局（AIVD）和国防情报安全局（MIVD）曾将此前未被发现的俄罗斯关联组织Laundry Bear（即Void Blizzard）与一起2024年警方数据泄露事件相关联。2024年10月，荷兰司法部长向议会证实，荷兰警方将2024年9月导致警员联系方式泄露的数据泄露事件归咎于”国家行为体”。警方已向数据保护局报告此次安全事件，确认威胁行为者入侵了警方系统，获取了多名警员的工作相关联系信息，包括姓名、电子邮箱、电话号码及部分私人信息。

参考来源：

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《俄罗斯APT组织利用PLUGGYAPE恶意软件攻击乌克兰国防部队》