Álcázott, hamis jótékonysági oldalak
A támadók Signal- vagy WhatsApp-üzenetekkel keresték meg a célpontokat, és egy jótékonysági alapítványnak álcázott weboldal felkeresésére biztatták őket, ahol egy jelszóval védett archív csomagot kellett letölteniük. Ahelyett, hogy fontos dokumentumokat kaptak volna, a letöltött PIF-fájl (.docx.pif) vagy a közvetlenül elküldött PluggyApe-kártevő telepedett a gépre. Ez a fájl valójában egy, a Python-alkalmazások csomagolására használható eszközzel, a PyInstallerrel készült futtatható állomány.
Folyamatos fejlődés, titkos kommunikáció
A PluggyApe részletes adatokat gyűjt be a megtámadott számítógépről, ellopja azokat, majd utasításokra vár; a Windows Registryhez való hozzáféréssel képes beépülni a rendszerbe. Korábban a támadók a .pdf.exe kiterjesztést használták, de 2025 decemberétől áttértek a PIF-formátumra és a PluggyApe 2-es verziójára, amely fejlettebb rejtést, MQTT-alapú kommunikációt, valamint több elemzésellenes funkciót használ.
Mobiltelefonok a célkeresztben
A parancs- és vezérlőszerverek címei már nem is fixen kódoltak, hanem például a rentry.co vagy a pastebin.com webhelyeken vannak elrejtve, Base64-formátumban – így rugalmasabbá vált a rendszer. Az ukrán szakértők figyelmeztetnek: a mobileszközök kiemelten sérülékenyek, főleg, ha kompromittált ukrán telefonszámokat és természetes, helyes ukrán nyelvű kommunikációt is használnak a hackerek, így a támadások könnyen hihetők. Általában ismert telefonszámokról, hiteles hang- és videóüzenetekkel keresik meg az áldozatokat. Az összes hamis jótékonysági weboldal és kompromittáló adatok listája megtalálható az ukrán CERT jelentésében.
