攻击链始于社交工程

攻击者通过即时通讯应用联系目标，诱骗其访问伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的"文档"，实则为恶意可执行文件。这些文件通常存放在密码保护的压缩包内，或直接通过聊天工具发送，使用".docx.pif"等误导性扩展名伪装成无害文件。
Part02

PLUGGYAPE后门技术分析

当受害者打开文件时，会运行一个基于Python并用PyInstaller打包的程序。该程序安装PLUGGYAPE后门，使攻击者获得受感染系统的远程访问权限。
CERT-UA报告指出："在至少五个攻击活动中，相关PIF文件都是使用PyInstaller创建的可执行文件。底层软件代码采用Python编程语言开发，被归类为PLUGGYAPE后门。值得注意的是，2025年10月攻击者曾使用'.pdf.exe'扩展名文件，该文件会启动一个加载器，用于下载Python解释器以及（从Pastebin资源获取）早期版本的PLUGGYAPE Python文件。"
Part03

恶意软件持续进化

PLUGGYAPE是基于Python的工具，通过WebSockets或MQTT连接命令服务器，以JSON格式交换数据。它会收集系统标识符，使用SHA-256算法生成唯一设备ID，执行从服务器接收的代码，并通过将自己添加到系统Run注册表项实现持久化驻留。
Part04

网络威胁态势演变

CERT-UA强调："网络威胁态势正在持续演变。特别值得注意的是，攻击者越来越多地使用合法账户、乌克兰移动运营商电话号码进行初始接触，同时使用乌克兰语及音视频通信，并能展示关于个人、组织及其运作特征的详细相关知识。安装在移动设备和个人电脑上的主流即时通讯软件，实际上已成为传播网络威胁工具的最常见渠道。"
Part05

相关背景信息

2024年5月，荷兰情报安全总局（AIVD）和国防情报安全局（MIVD）曾将此前未被发现的俄罗斯关联组织Laundry Bear（即Void Blizzard）与一起2024年警方数据泄露事件相关联。2024年10月，荷兰司法部长向议会证实，荷兰警方将2024年9月导致警员联系方式泄露的数据泄露事件归咎于"国家行为体"。警方已向数据保护局报告此次安全事件，确认威胁行为者入侵了警方系统，获取了多名警员的工作相关联系信息，包括姓名、电子邮箱、电话号码及部分私人信息。

参考来源：

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

https://securityaffairs.com/186910/intelligence/cert-ua-reports-pluggyape-cyberattacks-on-defense-forces.html

文章来源：FreeBuf