Rosyjska grupa APT atakuje ukraińskie wojsko

Grupa najczęściej kontaktowała się ze swoimi ofiarami za pośrednictwem komunikatorów internetowych, takich jak WhatsApp czy Signal.

Tworzyła profile fundacji charytatywnych, deklarując potrzebę pilnej pomocy. Następnie adresaci byli zachęcani do odwiedzenia strony internetowej, z której mogli pobrać „dokumenty” potwierdzające legalność i wiarygodność.

Strony „fundacji” przygotowano w sposób wzbudzający zaufanie. Były utrzymywane w języku ukraińskim, z dominującą kolorystyką niebiesko-żółtą oraz elementami nawiązującymi do symboliki narodowej Ukrainy.

Dodatkowo, atakujący - często już na etapie pierwszego kontaktu - dysponowali szczegółowymi informacjami na temat ofiary, jej firmy lub organizacji, co dodatkowo zwiększało ich wiarygodność.

Kampanie łączą socjotechnikę z architekturą malware

Jak podaje CERT-UA, pliki-pułapki najczęściej miały rozszerzenie „.docx.pif”, co miało sugerować dokument biurowy.

W co najmniej pięciu kampaniach pliki PIF zostały przygotowane przy użyciu narzędzia PyInstaller, wzkazując, że malware został napisany w języku Python i później skompilowany do postaci binarnej. W późniejszym czasie grupa także używała plików o nazwie sugerującej dokument PDF (pdf.exe).

Użyte programowanie sklasyfikowano jako backdoor PLUGGYAPE, zaliczany do kategorii zdalnych trojanów dostępu (RAT Remote Access Trojan). Po uruchomieniu umożliwia atakującym przejęcie kontroli nad zainfekowanym systemem, wykonywanie poleceń oraz dalszą komunikację z infrastrukturą dowodzenia (C2 Command and Control).

W grudniu 2025 r. odkryto nową, ulepszoną wersję narzędzia o nazwie PLUGGYAPE.V2. W tej odsłonie malware, wprowadzono szereg mechanizmów utrudniających wykrycie i analizę oprogramowania.

Zmianie uległ też sposób komunikacji, backdoor zaczął wykorzystywać protokół MQTT oraz połączenia oparte na WebSocketach, pozwalając na bardziej dyskretną i elastyczną wymianę danych z serwerem C2.

Atrybucja Ataków

Ataki zostały przypisane Void Blizzard, znana też jako Laudry Bear.

Grupa pierwszy raz została opisana przez Microsoft w maju 2025 roku. Od samego początku koncentrowała się wyłącznie na działaniach szpiegowskich, wymierzonych przede wszystkim w instytucje rządowe, struktury obronne, sektor edukacji, transport, media oraz ochronę zdrowia państw NATO wspierających Kijów oraz samej Ukrainy.

Na początku modus operandi Void Blizzard opierał się głównie na pozyskiwaniu skradzionych danych logowania z internetowych rynków. Jednak w kwietniu 2025 roku, Microsoft zaobserwował, że grupa poszerzyła swoją działalność i zaczęła prowadzić kampanie phishingowe oraz podszywać się pod znane wydarzenia i instytucje, m.in. konferencje poświęcone bezpieczeństwu.

Ewolucja działań grupy

CERT-UA podkreśla, że metody działania grupy Void Blizzard nieustannie ewoluują. Dotyczy to nie tylko samego narzędzia, lecz także sposobu prowadzenia operacji.

Hakerzy coraz częściej posługują się prawdziwymi numerami telefonów ukraińskich operatorów komórkowych, znacząco zwiększając wiarygodność w kontakcie z ofiarą. Dodatkowo, wykorzystują komunikację głosową, a w niektórych przypadkach również rozmowy wideo.

Dlatego też, biorąc pod uwagę rosnący poziom wyrafinowania tych działań, szeroki obszar operacyjny grupy oraz rolę Polski jako jednego z kluczowych państw wspierających Ukrainę, działalność grupy może stanowić czynnik ryzyka dla podmiotów funkcjonujących również w naszym kraju.