文章总结： 乌克兰CERT-UA披露乌军遭VoidBlizzard组织攻击，利用基于Python的PLUGGYAPE后门。攻击者通过社会工程学在即时通讯中投递恶意文件，该后门使用MQTT通信并具备反分析能力，C2信息隐匿于公共网站。建议加强对即时通讯文件的风险排查与识别。 综合评分： 83 文章分类： 恶意软件,威胁情报,应急响应,社会工程学

乌克兰 CERT-UA 报告称，乌军遭受 PLUGGYAPE 网络攻击

会杀毒的单反狗

军哥网络安全读报

2026年1月15日 09:01 湖北

导读

乌克兰计算机应急响应小组（CERT-UA）报告称，乌军遭受使用PLUGGYAPE恶意软件的新型网络攻击。

政府专家以中等置信度将此次攻击归咎于与俄罗斯有关联的黑客组织Void Blizzard（又名Laundry Bear，UAC-0190），该组织自2024年以来一直活跃。

攻击链始于社会工程学。攻击者通过即时通讯应用联系目标，诱骗他们访问一个伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的“文档”，而这些文档实际上是恶意可执行文件。

这些文件通常包含在受密码保护的压缩包中，或者直接通过聊天发送，使用诸如“.docx.pif”之类的误导性扩展名，使其看起来无害。

打开该文件后，会运行一个基于 Python 的程序，该程序使用 PyInstaller 打包。

此程序会安装 PLUGGYAPE 后门，使攻击者能够远程访问受感染的系统。

CERT-UA的报告指出： “至少在五次攻击活动中，涉事PIF文件是一个使用PyInstaller创建的可执行文件。其底层软件代码使用Python编程语言编写，被归类为PLUGGYAPE后门。”

报告指出：“在2025年10月，攻击者使用了一个扩展名为“.pdf.exe”的文件，该文件会启动一个加载器，其目的是下载一个Python解释器以及（来自Pastebin资源）一个早期版本PLUGGYAPE的Python文件。”

后续版本功能更加强大。更新后的 PLUGGYAPE 变种使用 MQTT 协议进行通信，并包含反分析检查，例如检测虚拟机。在某些情况下，命令与控制服务器的详细信息会被隐藏，并从 Pastebin 或 rentry.co 等公共网站获取，通常经过编码以逃避检测。

从 2025 年 12 月起，攻击者部署了使用 MQTT 进行通信和反分析检查的混淆 PLUGGYAPE.V2 变种，并将 C2 服务器详细信息以编码形式隐藏在公共网站上。

PLUGGYAPE 是一个基于 Python 的工具，它通过 WebSocket 或 MQTT 连接到命令服务器，并以 JSON 格式交换数据。它收集系统标识符，使用 SHA-256 生成唯一的设备 ID，执行从服务器接收的代码，并通过将自身添加到系统的 Run 注册表项来保持持久性。

报告总结道：“攻击者越来越多地使用合法账户和乌克兰移动运营商的电话号码与网络攻击目标进行初始互动，并使用乌克兰语进行语音和视频通信。攻击者能够展现出对目标人物、组织及其运作方式的详尽了解。移动设备和个人电脑上广泛使用的即时通讯工具实际上正成为网络威胁软件工具最常见的传播渠道。”

报告全文：

https://cert.gov.ua/article/6286942

新闻链接：

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《乌克兰 CERT-UA 报告称，乌军遭受 PLUGGYAPE 网络攻击》