文章总结： 乌克兰国防军遭VoidBlizzard组织利用PLUGGYAPE恶意软件攻击。攻击通过伪装慈善网站的社会工程学手段诱导下载基于Python的后门。该软件利用MQTT协议通信且具备反分析能力，建议警惕即时通讯工具中的未知文件，加强终端防护与安全意识。 综合评分： 85 文章分类： 恶意软件,威胁情报,社会工程学,应急响应

伪装慈善网站钓鱼！乌克兰国防军遭遇 PLUGGYAPE 网络攻击

HackerNews HackerNews

安全威胁纵横

2026年1月15日 15:16 湖北

高危漏洞

紧急修复指南

RCE Patch

乌克兰计算机应急响应小组指出，乌军近期遭到一系列新型网络攻击，攻击所使用的恶意软件为PLUGGYAPE。政府专家以中等置信度将该攻击归因于与俄罗斯有关联的组织Void Blizzard（又名Laundry Bear、UAC-0190），该组织自2024年开始活跃。

推测e

1

事件详情

此次攻击的链路以社会工程学手段为开端。攻击者通过即时通讯软件联系目标对象，诱骗其访问一个伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的“文件资料”，而这些文件实则为恶意可执行程序。

图源：securityaffairs

这些恶意文件通常会被封装在带密码保护的压缩包中，或通过聊天工具直接发送，还会使用.docx.pif这类具有迷惑性的扩展名，以此伪装成无害文件。

一旦受害者打开文件，其中基于Python编写、经 PyInstaller打包的程序便会运行，进而安装PLUGGYAPE后门程序，让攻击者得以远程控制受感染的设备。

乌克兰计算机应急响应小组的报告中提到：“在至少五轮攻击行动中，所使用的PIF文件均为经PyInstaller打包生成的可执行文件。其底层软件代码基于Python编程语言开发，被归类为PLUGGYAPE后门程序。需要注意的是，2025年10月期间，攻击者曾使用扩展名是.pdf.exe的文件，该文件会启动一个加载器，其作用是下载Python解释器，并从 Pastebin平台获取早期版本的PLUGGYAPE Python恶意脚本。”

该恶意软件的后续版本功能更为完善。升级版的 PLUGGYAPE变种采用消息队列遥测传输协议进行通信，还加入了反分析检测机制，例如能够识别虚拟机环境。在部分攻击案例中，命令与控制服务器的相关信息会被隐藏，并从 Pastebin、rentry.co 等公共平台获取，且这些信息往往会经过编码处理，以规避安全检测。

自2025年12月起，攻击者开始部署经过混淆处理的PLUGGYAPE.V2变种，该变种同样采用MQTT协议通信，具备反分析检测能力，其命令与控制服务器的相关信息会以编码形式藏匿于公共网站中。

PLUGGYAPE是一款基于Python开发的恶意工具，通过WebSockets或MQTT与控制服务器建立连接，并采用JSON格式传输数据。它会收集受感染设备的系统标识信息，通过SHA-256算法生成唯一的设备编号，执行从控制服务器接收的恶意代码，同时还会将自身添加到系统的开机启动注册表项中，以此实现持久化驻留。

该报告的结论指出：“乌克兰计算机应急响应小组强调，网络威胁态势正处于持续演变之中。在网络攻击的初始阶段，攻击者愈发倾向于使用合法账户、乌克兰境内移动运营商的电话号码与目标对象建立联系，交流过程中会使用乌克兰语，并辅以音视频沟通手段，此外，攻击者还会展示出其对目标个人、相关机构及其运作模式的详尽了解。在移动设备和个人电脑上广泛使用的即时通讯工具，实际上已成为网络攻击工具最主要的传播渠道。”

02

关联攻击

今年5月，荷兰情报与安全总局及荷兰国防情报与安全局将一个先前未被发现的、代号为Laundry Bear（又名Void Blizzard）的俄罗斯关联组织与2024年的一起警方数据泄露事件联系起来。

2024年10月，荷兰司法部长向议员表示，荷兰警方将2024年9月的一起数据泄露事件归咎于国家行为体，该事件泄露了警员的联系方式。警方已向数据保护局报告了这起安全漏洞。威胁行为者侵入了一个警方系统，获取了多名警员的工作相关联系方式。攻击者能够访问警员的姓名、电子邮件、电话号码和一些私人信息。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://securityaffairs.com/186910/intelligence/cert-ua-reports-pluggyape-cyberattacks-on-defense-forces.html

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《伪装慈善网站钓鱼！乌克兰国防军遭遇 PLUGGYAPE 网络攻击》