تستهدف جهات تهديد سيبراني أفراد القوات المسلحة الأوكرانية بحملة برمجيات خبيثة متطورة، تستغل لعمليات خيرية كغطاء لشن هجماتها. تبرز هذه الحملة، التي استمرت بين أكتوبر وديسمبر 2025، كيف يستغل مجرمو الإنترنت بشكل متزايد الهندسة الاجتماعية بالاقتران مع روايات خيرية تبدو مشروعة لاختراق شبكات الدفاع عالية التأمين.
بدأت عملية العدوى الأولية بإقناع الأهداف بزيارة مواقع إلكترونية وهمية لمؤسسات خيرية، وذلك عبر رسائل مرسلة عبر تطبيقات المراسلة الفورية. وبمجرد وصول الضحايا إلى هذه الصفحات الاحتيالية، يتم توجيههم لتنزيل ما يبدو أنه مستندات رسمية.
ومع ذلك، فإن هذه الملفات هي في الواقع برامج قابلة للتنفيذ، وغالباً ما تكون مموهة بامتدادات مزدوجة مثل .docx.pif أو .pdf.exe، وتوضع ضمن أرشيفات محمية بكلمة مرور لتجاوز أنظمة الكشف. وأظهر محللو CERT-UA أدلة على أن هذه الحملة تستهدف بشكل خاص القطاعات العسكرية، مما يستدعي المزيد من الحذر.
آلية الإصابة والبنية التحتية للتحكم
وتعمل البرمجيات الخبيثة عبر آلية استمرارية مدروسة تضمن وصولاً طويل الأمد للأنظمة المخترقة. عند تشغيلها، تقوم البرمجية الخبيثة PLUGGYAPE بإنشاء معرف فريد للجهاز عن طريق جمع معلومات أساسية عن الكمبيوتر، بما في ذلك عنوان MAC، والرقم التسلسلي لـ BIOS، ومعرف القرص، ومعرف المعالج.
تخضع هذه البيانات للتشفير باستخدام SHA-256، ويتم استخدام أول ستة عشر بايت فقط كبصمة للجهاز. ثم تقوم البرمجية الخبيثة بإنشاء إدخال في سجل النظام ضمن فرع تشغيل ويندوز، مما يضمن التنفيذ التلقائي عند إعادة تشغيل النظام المصاب. وتمثل تقنية الاستمرارية هذه جانباً أساسياً من تصميم البرمجيات الخبيثة، حيث قد تكون الأهداف غير متصلة بالإنترنت لفترات طويلة، ويصعب تفعيلها يدوياً.
يتم التواصل مع خوادم القيادة والتحكم عبر بروتوكولات WebSocket أو MQTT، ويتم إرسال جميع البيانات بتنسيق JSON. في الإصدارات المبكرة، كانت تتصل البرمجية مباشرة بعناوين IP ثابتة مدمجة في شيفرتها البرمجية، ولكن لاحقاً طورت الجهات المهاجمة بنيتها التحتية لإخفاء العناوين على خدمات اللصق العامة مثل Pastebin و Rentry، مشفرة بتنسيق Base64.
وبحلول ديسمبر 2025، ظهر إصدار محسّن عُرف باسم PLUGGYAPE.V2، يدمج طبقات تشويش إضافية وفحوصات إضافية مصممة للكشف عن بيئات الجهاز الافتراضي. يعكس هذا التحديث التزام الجهات المهاجمة بالحفاظ على فعاليتها التشغيلية ضد الإجراءات الدفاعية المتطورة بشكل متزايد التي تطبقها الوحدات السيبرانية الأوكرانية.