Netcrook Logo
👤 LOGICFALCON
🗓️ 14 Jan 2026   🌍 Europe

Malware sotto mentite spoglie: false associazioni benefiche usate per violare la difesa dell’Ucraina

Una nuova campagna cyber sfrutta la buona fede dei difensori dell’Ucraina, trasformando esche “benefiche” in armi per distribuire malware avanzato.

Nel mondo oscuro della guerra informatica, la fiducia è spesso la prima vittima. Mentre i difensori dell’Ucraina si preparano ad assalti digitali, emerge una nuova minaccia: hacker che si spacciano per operatori umanitari, facendo leva sulla compassione del personale militare per infiltrarsi nelle difese del Paese. Gli investigatori hanno scoperto una campagna tanto astuta quanto crudele - che arma falsi aiuti umanitari per scatenare una backdoor furtiva chiamata PLUGGYAPE.

L’anatomia di un inganno

Secondo le autorità ucraine, il copione degli attaccanti sembra una masterclass di social engineering. Usando numeri di telefono ucraini dall’aspetto autentico e un linguaggio locale impeccabile, il gruppo - ritenuto Void Blizzard (UAC-0190) - ha avvicinato i bersagli tramite app di messaggistica molto diffuse. L’amo? Offerte di aiuto, supporto e documenti dall’aspetto ufficiale, apparentemente provenienti da associazioni riconosciute.

Le vittime venivano invogliate a visitare siti web fraudolenti di beneficenza, progettati con cura per rispecchiare organizzazioni legittime. Qui scattava la trappola: download di “documenti” tutt’altro che innocui. I file arrivavano come archivi compressi o eseguibili con doppia estensione - come “.docx.pif” o “.pdf.exe” - camuffando il loader del malware PLUGGYAPE.

PLUGGYAPE: sotto il cofano

Una volta rilasciato, PLUGGYAPE stabiliva canali di comunicazione segreti con server di comando e controllo usando WebSocket o il protocollo MQTT - metodi spesso trascurati dalle difese tradizionali. Il malware generava impronte univoche del dispositivo usando identificatori hardware e garantiva la persistenza modificando silenziosamente il Registro di Windows.

La campagna si è evoluta rapidamente. Entro dicembre, gli investigatori hanno trovato una nuova variante, PLUGGYAPE.V2, dotata di offuscamento, funzionalità anti-analisi per ostacolare il rilevamento di macchine virtuali e comunicazione via MQTT. Gli indirizzi dei server di controllo venivano persino occultati in BASE64 e archiviati su siti pubblici di paste come Pastebin e Rentry.co, eludendo il rilevamento automatico.

Domini come hart-hulp-ua.com e solidarity-help.org costituivano la spina dorsale dell’infrastruttura della campagna. L’attenzione ai dettagli degli attaccanti - e la loro profonda conoscenza delle operazioni di difesa ucraine - suggeriscono un avversario pieno di risorse, capace di adattarsi in tempo reale.

Difendersi dai lupi digitali travestiti da agnelli

Questa campagna mette in luce una realtà agghiacciante: nella guerra informatica moderna, persino i simboli di speranza e carità possono diventare vettori d’attacco. Le agenzie ucraine di cybersicurezza esortano il personale e le organizzazioni della difesa a esaminare con attenzione tutte le comunicazioni non richieste, soprattutto quelle che promettono aiuti. File o link sospetti dovrebbero essere segnalati immediatamente, e la vigilanza è fondamentale per chi non dispone di strumenti di sicurezza avanzati.

Man mano che il campo di battaglia digitale evolve, devono evolvere anche le difese. Per i difensori dell’Ucraina, la lezione è chiara: fidarsi, ma verificare - soprattutto quando l’aiuto bussa alla porta.

WIKICROOK

  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
  • Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Obfuscation: L’offuscamento è la pratica di mascherare codice o dati per renderli difficili da comprendere, analizzare o rilevare per esseri umani o strumenti di sicurezza.
  • Persistence: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
Malware Cyber Warfare Fake Charities
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news