Netcrook Logo
👤 LOGICFALCON
🗓️ 14 Jan 2026   🌍 Europe

Charité ou cybercriminalité ? Des hackers russes déploient « PLUGGYAPE » déguisé contre les forces ukrainiennes

Une campagne de malware ingénieuse se fait passer pour des appels à la charité afin d’infiltrer les réseaux de défense ukrainiens avec des portes dérobées avancées basées sur Python.

Tout a commencé par ce qui ressemblait à un appel sincère aux dons. Les soldats ukrainiens, déjà confrontés à la guerre physique et numérique, ont reçu des messages les incitant à soutenir des associations venant en aide à l’effort de guerre. Mais sous cette façade de bienveillance, une cyberattaque sophistiquée se déployait discrètement - révélant jusqu’où les acteurs de la menace moderne sont prêts à aller pour percer les défenses de leurs cibles.

L’Équipe nationale d’intervention en cas d’incident cybernétique d’Ukraine (CERT-UA) et l’Équipe de réponse cybernétique des forces armées ont attribué une série de cyberattaques coordonnées au groupe notoire affilié à la Russie, Void Blizzard - également connu sous le nom de Laundry Bear. Leur arme de prédilection : PLUGGYAPE, une porte dérobée basée sur Python qui incarne la dernière évolution des malwares.

La chaîne d’attaque est aussi manipulatrice que technique. Les victimes sont appâtées via des messages sur des plateformes populaires, les dirigeant vers de faux sites de charité habilement conçus. Ces sites proposent des « documents » à télécharger - souvent des archives protégées par mot de passe contenant un fichier en apparence inoffensif. Mais la double extension du fichier (comme .docx.pif) déguise un programme en document, exploitant la précipitation des soldats et du personnel.

Une fois exécuté, le malware s’active. PLUGGYAPE collecte des empreintes matérielles détaillées, les hache pour générer un identifiant unique de l’appareil, et établit un contrôle persistant en modifiant les clés du registre Windows. Sa communication avec les serveurs de commande est furtive, utilisant les protocoles WebSocket et MQTT qui se fondent dans le trafic réseau légitime. Notamment, les versions récentes dissimulent les adresses d’infrastructure critique sous forme de chaînes encodées sur des services publics comme Pastebin, permettant aux attaquants de changer de serveur à volonté - sans mise à jour du malware.

Le niveau de sophistication de la campagne a augmenté entre octobre et décembre 2025. Les premières variantes récupéraient du code depuis Pastebin, tandis que les versions ultérieures, baptisées PLUGGYAPE.V2, intégraient des vérifications de virtualisation pour déjouer l’analyse dans des environnements sandbox - une technique prisée des chercheurs en sécurité. Les attaquants ont également démontré une connaissance approfondie de l’organisation, utilisant des comptes ukrainiens compromis et une maîtrise de la langue locale pour renforcer leurs tactiques d’ingénierie sociale.

Alors que les applications de messagerie deviennent la première ligne de livraison des cybermenaces, les autorités ukrainiennes appellent les organisations militaires et civiles à la vigilance. La frontière entre charité et cybercriminalité n’a jamais été aussi dangereusement floue.

À l’ère de la guerre hybride, même les messages les plus altruistes exigent une vigilance accrue. La campagne PLUGGYAPE rappelle brutalement que la confiance, une fois instrumentalisée, peut devenir l’arme la plus puissante de l’arsenal d’un acteur malveillant.

WIKICROOK

  • Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
  • Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour inciter des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à un système.
  • Double extension : La double extension est une astuce de nommage de fichier qui masque des exécutables malveillants en leur donnant deux extensions, les faisant passer pour des documents ou images inoffensifs.
  • Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
  • Obfuscation : L’obfuscation consiste à déguiser du code ou des données pour les rendre difficiles à comprendre, analyser ou détecter par des humains ou des outils de sécurité.
Cybercrime PLUGGYAPE Social Engineering
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news