PLUGGYAPE マルウェア
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、国防機関を標的とした新たなサイバー攻撃の波を明らかにしました。2025年10月から12月にかけて観測されたこれらの攻撃には、これまで記録されていなかった「PLUGGYAPE」と呼ばれるマルウェアが関与しています。この攻撃は、ウクライナを標的としたソーシャルエンジニアリング戦術と技術的高度化の継続的な進化を浮き彫りにしています。
目次
帰属と脅威アクターのプロファイル
この活動は、ロシアと連携するハッカー集団「Void Blizzard」(別名Laundry Bear、UAC-0190)との関連性が中程度の確度で確認されています。情報機関による評価によると、この集団は少なくとも2024年4月から活動を開始しています。最近の活動は、軍事および防衛関連環境への集中的な関心を示しています。
初期アクセスの中核を成すソーシャルエンジニアリング
感染連鎖は、エクスプロイトではなく、欺瞞から始まります。脅威アクターは、SignalやWhatsAppといった広く信頼されているインスタントメッセージングプラットフォームを介して連絡を取ります。慈善団体の代表者を装い、被害者を誘導して偽の人道支援ウェブサイト(harthulp-ua.comやsolidarity-help.orgといったドメインを含む)へのリンクを開かせます。これらのウェブサイトは、正当な財団を装い、悪意のあるペイロードを含むパスワード保護されたアーカイブをホストしています。
攻撃者は、ウクライナの携帯電話事業者に紐付けられた、侵害された、あるいは説得力のあるアカウントをますます利用しています。通信はウクライナ語で行われ、音声通話やビデオ通話が含まれる場合があります。多くの場合、攻撃者は被害者の背景、組織、業務内容を詳細に把握しており、ソーシャルエンジニアリングの成功率を大幅に高めています。
PLUGGYAPEの内側:マルウェアの機能と進化
ダウンロードされたアーカイブは、PyInstallerでビルドされた実行ファイルを展開し、PLUGGYAPEバックドアをインストールします。Pythonで記述されたこのマルウェアは、感染したシステム上で任意のコードをリモートから実行することを可能にします。時間の経過とともに、新しい亜種には、仮想環境や研究環境での実行を防ぐための、より強力な難読化技術と解析回避メカニズムが組み込まれています。
PLUGGYAPEはWebSocket接続を使用してオペレーターと通信し、2025年12月時点ではMQTTプロトコルもサポートしているため、柔軟性と回復力が向上しています。この通信チャネルにより、侵害されたホストを継続的に制御し、攻撃者による迅速なタスク実行が可能になります。
指揮統制のレジリエンスと運用セキュリティ
オペレーターは、マルウェアに制御サーバーのアドレスを直接埋め込むのではなく、rentry.coやpastebin.comなどの公開ペーストサービスからコマンドアンドコントロールエンドポイントを取得します。これらのアドレスはBase64エンコード形式で保存されるため、攻撃者はマルウェアを再展開することなく、迅速にインフラを変更できます。このアプローチにより、削除作業が複雑になり、既知のサーバーが発見され、妨害された場合でも、運用の継続性が向上します。
メッセンジャーベースの脅威配信への広範な移行
CERT-UAは、モバイルデバイスとPCの両方で普及しているメッセージングアプリケーションが、サイバー脅威の拡散の主要なチャネルとして急速に成長していると強調しています。メッセージングアプリケーションの普及率、ユーザーの信頼、そしてリアルタイムのやり取りが相まって、悪意のあるツールを拡散し、被害者を操るための特に効果的なプラットフォームとなっています。
