¿Caridad o trampa? El ejército ucraniano golpeado por una sofisticada oleada de malware “PluggyApe”

El campo de batalla digital en Ucrania acaba de volverse aún más peligroso. En una campaña astuta que difuminó la línea entre el altruismo y el espionaje, un notorio grupo cibernético ruso atrajo a funcionarios de las Fuerzas de Defensa de Ucrania con falsas solicitudes benéficas, solo para infectar sus sistemas con un sigiloso malware llamado PluggyApe. La historia parece sacada de un thriller cibernético, pero para el ejército ucraniano, las consecuencias son dolorosamente reales.

Dentro del ataque: cómo los hackers convirtieron la caridad en un arma

Entre octubre y diciembre de 2025, el CERT-UA de Ucrania observó una oleada de ataques que comenzaban de forma aparentemente inocente: un mensaje en Signal o WhatsApp invitando a funcionarios militares a apoyar una fundación benéfica. ¿El giro? Los “documentos” adjuntos eran caballos de Troya: archivos comprimidos protegidos por contraseña que ocultaban archivos PIF maliciosos y la carga útil de PluggyApe.

No se trataba de una operación amateur. Los archivos estaban hábilmente disfrazados, utilizando la herramienta PyInstaller para empaquetar malware basado en Python en archivos ejecutables que lograban evadir muchas defensas. Una vez ejecutado, PluggyApe perfilaba a sus víctimas, enviando identificadores únicos y datos del sistema a sus controladores, y esperaba silenciosamente nuevas instrucciones.

Lo que distinguió a esta campaña fue su sofisticación y adaptabilidad. Las primeras versiones de PluggyApe usaban el conocido truco de “.pdf.exe”, pero para diciembre, los atacantes habían evolucionado a archivos PIF y una segunda versión del malware. Esta nueva iteración contaba con una ofuscación más robusta, comunicación basada en MQTT (lo que dificulta la detección del tráfico) y funciones anti-análisis para frustrar a los defensores. En lugar de depender de direcciones estáticas de comando y control, PluggyApe obtenía sus instrucciones de fuentes dinámicas como rentry.co y pastebin.com - sitios web comúnmente usados para compartir texto, pero aquí convertidos en balizas cibernéticas.

Quizás lo más alarmante sea el uso que los atacantes hicieron del conocimiento local. Al secuestrar cuentas legítimas y números móviles ucranianos, y comunicarse en el idioma local (incluso mediante audio y video), los hackers hicieron que su engaño fuera casi indistinguible de una iniciativa genuina. El CERT-UA advierte que los dispositivos móviles, a menudo menos protegidos que los ordenadores, se han convertido en un objetivo principal en estas campañas - transformando canales de confianza en vectores de compromiso.

El panorama general: guerra, engaño y riesgos digitales

Esta última campaña de PluggyApe no es un incidente aislado. Forma parte de un esfuerzo ruso más amplio para socavar a Ucrania y la OTAN mediante sofisticación técnica, ingeniería social e innovación constante. Para los defensores, la lección es clara: la confianza, una vez convertida en arma, se transforma en vulnerabilidad. A medida que el engaño digital se vuelve más convincente, la vigilancia y el escepticismo deben ir al mismo ritmo. La línea entre amigo y enemigo nunca ha sido tan delgada.

WIKICROOK

• Backdoor: Una puerta trasera es una forma oculta de acceder a un ordenador o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
• Archivo PIF: Un archivo PIF es un tipo de archivo heredado de Windows que puede ejecutar código y es utilizado frecuentemente por atacantes para disfrazar malware.
• PyInstaller: PyInstaller empaqueta programas de Python en ejecutables independientes, facilitando su distribución y, en ocasiones, siendo usado para ocultar código malicioso en contextos de ciberseguridad.
• Ofuscación: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.
• Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.