Pejabat Angkatan Bersenjata Ukraina menjadi sasaran kampanye siber berbahaya yang menyamar sebagai kegiatan amal sepanjang Oktober hingga Desember 2025. Serangan ini menyebarkan malware backdoor bernama PluggyApe, dengan pendekatan rekayasa sosial yang dirancang sangat meyakinkan.
Berdasarkan laporan CERT-UA, kampanye tersebut diduga dilakukan oleh kelompok peretas asal Rusia yang dikenal dengan nama Void Blizzard atau Laundry Bear, meskipun tingkat keyakinan atribusinya masih berada pada level menengah. Kelompok ini sebelumnya juga dikaitkan dengan peretasan sistem internal kepolisian Belanda pada 2024 dan pencurian data sensitif aparat penegak hukum.
Modus Serangan: Amal Palsu dan Arsip Berbahaya
Serangan diawali dengan pesan instan melalui Signal atau WhatsApp, di mana korban diminta mengunjungi sebuah situs yang diklaim dikelola oleh yayasan amal. Korban kemudian diarahkan untuk mengunduh arsip ber-password yang disebut berisi dokumen penting atau relevan dengan pekerjaan mereka.
Faktanya, arsip tersebut berisi file eksekusi berbahaya, termasuk file berformat .docx.pif serta payload PluggyApe. Dalam beberapa kasus, file berbahaya bahkan dikirimkan langsung melalui aplikasi pesan tanpa perantara situs web.
File PIF tersebut sebenarnya merupakan program executable yang dibuat menggunakan PyInstaller, sebuah alat open-source yang memungkinkan aplikasi Python dibungkus menjadi satu paket lengkap dengan seluruh dependensinya. Teknik ini mempersulit analisis awal dan meningkatkan peluang eksekusi oleh korban.
Kemampuan PluggyApe
PluggyApe berfungsi sebagai backdoor yang mampu melakukan profiling sistem korban, mengirimkan informasi detail ke server penyerang—termasuk ID unik korban—dan kemudian menunggu perintah lanjutan untuk mengeksekusi kode tambahan. Untuk mempertahankan keberadaannya di sistem, malware ini memanfaatkan modifikasi Windows Registry sebagai mekanisme persistensi.
CERT-UA mencatat bahwa sejak Desember 2025, pelaku serangan beralih ke PluggyApe versi 2. Versi terbaru ini hadir dengan obfuscation yang lebih kuat, mekanisme komunikasi berbasis MQTT, serta peningkatan fitur anti-analisis. Sebelumnya, loader malware ini banyak menggunakan ekstensi “.pdf.exe”, namun kini digantikan oleh format PIF yang lebih jarang dicurigai.
Menariknya, PluggyApe tidak menyimpan alamat command-and-control (C2) secara statis di dalam kode. Sebagai gantinya, malware ini mengambil daftar C2 dari layanan eksternal seperti platform berbagi catatan publik, dengan data yang telah dienkode dalam base64, sehingga lebih fleksibel dan sulit diblokir.
Ancaman Serius bagi Perangkat Mobile
CERT-UA menegaskan bahwa perangkat mobile kini menjadi target utama dalam serangan semacam ini. Perangkat tersebut umumnya memiliki tingkat perlindungan dan pemantauan keamanan yang lebih rendah dibandingkan sistem desktop atau server.
Serangan menjadi semakin berbahaya karena pelaku sering menggunakan akun sah atau nomor telepon operator seluler Ukraina yang telah dikompromikan, serta berkomunikasi menggunakan bahasa Ukraina, termasuk melalui pesan suara atau video. Dalam beberapa kasus, penyerang bahkan menunjukkan pemahaman mendalam mengenai identitas korban, organisasi tempatnya bekerja, dan detail operasional internal.
Kombinasi antara rekayasa sosial tingkat tinggi dan malware yang terus berevolusi membuat kampanye ini menjadi salah satu ancaman paling serius bagi keamanan siber sektor pertahanan Ukraina saat ini.