{
	"id": "94cb1c5c-3402-46a6-8f3f-22f9f443663d",
	"created_at": "2026-04-06T00:20:02.47895Z",
	"updated_at": "2026-04-10T03:33:29.192112Z",
	"deleted_at": null,
	"sha1_hash": "fb033541c7f191f6c9dc830859661c80de4a8f5a",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 11572775,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:59:33 UTC\r\nОновлено 20.01.2026\r\nЗагальна інформація\r\nУпродовж жовтня-грудня 2025 року Національною командою реагування на кіберінциденти, кібератаки,\r\nкіберзагрози CERT-UA, у взаємодії з Командою реагування на кіберінциденти ЗС України (в/ч А0334),\r\nвжито заходів з дослідження низки цілеспрямованих кібератак у відношенні представників Сил оборони\r\nУкраїни, які здійснюються під виглядом діяльності благодійних фондів із застосуванням програмного\r\nзасобу PLUGGYAPE.\r\nЗа певними характерними ознаками з середнім рівнем впевненості активність асоційовано з діяльністю\r\nугруповання, відомого як Void Blizzard (Laundry Bear), для відстеження якого використовується\r\nідентифікатор UAC-0190.\r\nЗадля реалізації зловмисного задуму об'єкт кібератаки засобами месенджерів спонукають до відвідування\r\nвебсайту, що імітує вебсторінку нібито одного із благодійних фондів, з якої пропонується завантажити\r\n\"документи\" - виконувані файли, які, як правило, знаходяться в захищеному паролем архіві. Водночас\r\nвиконуваний файл може бути надісланий безпосередньо в месенджер і здебільшого має розширення\r\n\".docx.pif\".\r\nЗгаданий PIF-файл, щонайменше у п'яти кампаніях, є виконуваним файлом, створеним з допомогою\r\nPyInstaller. В свою чергу код основного програмного засобу розроблено з використанням мови\r\nпрограмування Python та класифіковано як бекдор PLUGGYAPE.\r\nЗауважимо, що у жовтні 2025 року зловмисники використовували файл з розширенням \".pdf.exe\", який\r\nзабезпечував запуск лоадера, призначенням якого було завантаження Python-інтерпретатора та (з ресурсу\r\nPastebin) Python-файлу ранньої версії PLUGGYAPE.\r\nПочинаючи з грудня 2025 року виявлено удосконалену (та обфусковану) версію PLUGGYAPE\r\n(PLUGGYAPE.V2), в якій застосовано протокол MQTT, а також додано низку перевірок для протидії\r\nаналізу, зокрема запуску у віртуальному середовищі.\r\nВже у січні 2026 року виявлено варіант PIF-файлу (що забезпечить запуск PLUGGYAPE), розробленого з\r\nвикористанням мови програмування Rust.\r\nВ декількох з проаналізованих файлів IP-адреса сервера управління могла бути вказана не безпосередньо в\r\nкоді програми, а публікувалася на ресурсах на кшталт rentry.co та pastebin.com, зокрема у BASE64-\r\nкодованому вигляді. \r\nCERT-UA наголошує, що ландшафт кіберзагроз невпинно еволюціонує. Зокрема, все частіше первинна\r\nвзаємодія з об'єктом кібератаки здійснюється з використанням легітимних облікових записів, телефонних\r\nhttps://cert.gov.ua/article/6286942\r\nPage 1 of 8\n\nномерів українських мобільних операторів, при цьому застосовується українська мова, аудіо та відео\r\nзв'язок, а зловмисник може демонструвати детальне і релевантне знання про особу, організацію та\r\nособливості її функціонування. Широковживані месенджери, наявні на мобільних пристроях та\r\nперсональних ЕОМ де-факто перетворюються на найбільш поширений канал доставки програмних засобів\r\nреалізації кіберзагрози.\r\nУ випадку якщо ваш комп'ютер не оснащено відомчими (корпоративними) засобами захисту, а також у разі\r\nвиникнення (зокрема постфактум) сумнівів щодо легітимності та безпечності тієї чи іншої взаємодії або ж\r\nпідозри щодо будь-яких файлів, посилань, подій на ПЕОМ - просимо невідкладно звертатися до\r\nпідрозділів кіберзахисту та суб'єктів забезпечення кібербезпеки України, включаючи національний,\r\nрегіональний та галузевий рівні.\r\nПредставників СОУ просимо невідкладно інформувати Команду реагування на кіберінциденти ЗС України\r\n(в/ч А0334), email: csoc@post.mil.gov.ua).\r\nPLUGGYAPE\r\nПрограмний засіб, розроблений мовою програмування Python. Встановлює з'єднання з сервером\r\nуправління з використанням вебсокетів та/або MQTT, дані передаються у форматі JSON. На основі базової\r\nінформації про ЕОМ (MAC-адреса, серійний номер BIOS, диска та ідентифікатор процесора) генерує\r\nунікальний ідентифікатор пристрою із застосуванням алгоритму SHA-256 (використовуються перші 16\r\nбайтів). Забезпечує виконання отриманого з сервера програмного коду. Персистентність забезпечується\r\nшляхом створення запису в гілці Run реєстру операційної системи.\r\nІндикатори кіберзагроз\r\nФайли:\r\n977e52e28a4501e3b2420e28c1844b73 6d54a09e689f20ecd051bd06f7fdd4229d5f955261fb113e2a4a7fb791bb0\r\n5fdd642407e3a8af60f0933bce7be9d2 18523cc2ff47556993312c90462935543ed3266d5243fa7482abcd60938fe\r\na52c356eb6a86934c2a3be068e26e86f b82b81edbabef420b3b66d276098e51867e9f1d8594d75c7d7290a981b9df\r\n050f5ea17d5965305c9fcf8b7fc317b9 a9a8aea2d8a673d108a5b1125f98156febffcbfdd2ea36ba08749a97bf3d3\r\n2253b80ee67c4b581395b33b353cbd70 e6ef0bc6479736a3bafa6ca766e258669fa79043c5e80fc3af7f4555df055\r\nc04e059e65bfa0ef7d2da12a12bd2c4a df6ef502a43fb60007976edd1204ef1752a286200a2491d00ece2049c1732\r\n50449a7c760e5b2be004b0ffcdb3e63b e50d8c23b4b61cd8a9b820ec528e423a5331929c5b5cc71664e0d83156d05\r\n5fd6bcba46ffb31be56d6fe4866ad322 620c9cb0c0d6ad404d8580ea2f6b02d8508f3b3bd091115fc5f3fbcbd17e0\r\n7245b238c0d5f3b9dd080d83d99e3237 a70d4f0e58f77c7df518ec6e6a43a8cc77d4dd6855f33989c12cdc98f6af1\r\n71d2564b34e36e815997d63054e60b3b 5fa48a4f9d576ea2968db929d943a1b51dd62ca2d37796e0b47e944672487\r\ndf30dae950ebf3f457a0a490407416c0 5fc660b031889f9d929769aa4c8aea3e24fae1e29d389762ab13543bbf95e\r\n780ee02937c6700d8d6225d3e41ae5ac 8ada352ee5935dcb597dad87c244ce29c4b3498df2fff0546bfaad1fe0be5\r\nfac2977cd4390673e822845608a97d6f 1246d4b00dd3c69d4414be5ab5f1b776281283986a5b18a64d2870de3f2dc\r\n636b7f1d11398c223c5d8b81121b2d32 8e0ccf969ab55e862f6406ed4ce3891145e66b627017c56c6f26c8e4526ea\r\nfed7a6ef43abd0badd8c6611c6d75859 66651d70bf8211fd43b1e8d8efce05ddb6be80d9987ceb1d4027b6b35857c\r\nhttps://cert.gov.ua/article/6286942\r\nPage 2 of 8\n\n69bd8298df2419753b383bc61c84db9b d614b1e495de93e84f61252a3cf1b57ae01bcac0fea7ddd9443b200532cdc\r\n9f4b06c298e066b01c3ea430391e476a e55e5ed949ee6016ca6d2fce2c920c29857b6f71e9be89a4fcf90596287ee\r\na8751aa10f9d926cb86fcdd435b11ef2 d84868e33bdade768d93bd7ab9782eb8c22722ce045ff51bcb09d8b0aa349\r\n0954e4d62a49de8014d8c98b8da6bd32 34214cebc0d03d3c2d5bdab7e5461f034dbc28850fd19938cee7beca27dbc\r\ndc4bb17f6cf57d81a0b90af957c0beaf d8f02c3a71485648ef184f59f8cae40758416e84ac23dfc6320c037e19879\r\nda6e6f16835da25dcede9b40ccbc906a 04cc6719fc55f3ce9ca658bc0cbf975d485077b815cbd0817aeb451bc6554\r\n8fcd5b53c4223f7520cc5c3f02990f9e 9b3c154931a2066c40fa76bd614305f9aad9f0be86474eb1f538dc154b590\r\n5f11ce2be5adbb9b071cdb15694b3b2f bea2cdb2562f3c46a83c5ed03e9b899281588fc95b94b2ee5223f8b60a66f\r\n0a3d91be0e1086c09f6a488868ab73a0  353118c77de5b04d0820c97ceeaf85926cae8fe1e97d304ea83c5ac3138ff5a1\r\n6d0e4aa5e921d7d9c2c52a8a3912e18c  2e5a59ae7871ec46192c9de1b8e22f988823308c5d95f9f5d745c41d7fe1c8de\r\n9fdf20379deed89def024da286fe8e49  70d7c3087b32c760cbe3145c23f9c093b45d63101d5de136e4e9e7e358f9ad0a\r\n826a91aa7ddebbbdc21201e8626d7fc9  f11fbfd6821c62d48fae6c1f7d6cb7889aeee49bb4aeaf0957ccbc37e7f00efc\r\n2db5e95536fe6f4713eeb234352fe8d2 31e658a41ad448d0b38611c6d74cf2ae352dc2efad6c4de29bf775f6621ee\r\ne4b6d69fd1a6e64530d61704e77d2938 4b19a25b2a0741eb673415b1e008c371e4766793b8fbc0d3651287b709fac\r\nМережеві:\r\n(tcp)://193[.]23.216.39:8765\r\n(tcp)://193[.]23.216.39:1883\r\n(tcp)://108[.]165.164.155:1883\r\n(tcp)://176[.]9.23.216:1883\r\n193[.]23.216.39 (C2)\r\n108[.]165.164.155 (C2)\r\n176[.]9.23.216 (C2)\r\n144[.]31.25.203\r\n144[.]31.106.23\r\n144[.]31.25.222\r\nhXXps://pastebin[.]com/raw/5qLz9wAK\r\nhXXps://pastebin[.]com/raw/qAKhdTLq\r\nhXXps://ghostbin.axel[.]org/paste/xy359/raw\r\nhXXps://rentry.co/MicrosoftAdvertisingEndpoint\r\nhXXps://hart-hulp-ua[.]com/uploads/win64/Docs.rar\r\nhXXps://hart-hulp-ua[.]com/uploads/win64/Inventory_list.docx\r\nhXXps://hart-hulp-ua[.]com/uploads/win64/Inventory_list.docx\r\nhXXp://144[.]31.25.222/uploads/win/Docs.rar\r\nhXXps://solidarity-help[.]org/uploads/win/Inventory_list_new.docx\r\nhXXps://solidarity-help[.]org/uploads/win/Inventory_list_new.docx.pif\r\nhXXps://solidarity-help[.]org/uploads/win/blank_zvernenya.docx\r\nhXXps://solidarity-help[.]org/uploads/win/blank_zvernenya.docx.pif\r\nhXXps://saint-daniel[.]com/download/list.zip (St_Daniel_LIST.docx.lnk n/a)\r\nhXXps://saint-daniel[.]org/download.php (list.rar n/a)\r\nhXXps://saint-daniel[.]world/download.php (list.rar n/a)\r\nhttps://cert.gov.ua/article/6286942\r\nPage 3 of 8\n\nhXXps://razem-ua[.]com/uploads/Inventory_List_pl.rtf.pif\r\nhXXps://razem-ua[.]com/uploads/win/Inventory_list_pl.docx\r\nhXXps://razem-ua[.]com/uploads/win/blank_zvernenya_pl.docx\r\nhXXps://razem-ua[.]com/uploads/win/blank_zvernenya_pl.rtf.pif\r\nhXXps://frontline-help[.]com/uploads/win/Inventory_list_sw.docx\r\nsaint-daniel[.]com (185[.]107.74.13; historical)\r\nsaint-daniel[.]org (144[.]31.25.203)\r\nsaint-daniel[.]world (83[.]217.208.184)\r\nhart-hulp-ua[.]com\r\nharthulp-ua[.]com\r\nsolidarity-help[.]com (144[.]31.106.23)\r\nsolidarity-help[.]org (144[.]31.106.23)\r\nrazem-ua[.]com (144[.]31.106.31)\r\nfrontline-help[.]com (193[.]23.199.14)\r\ntcp://193.23.216.39:8765\r\ntcp://193.23.216.39:1883\r\ntcp://108.165.164.155:1883\r\ntcp://176.9.23.216:1883\r\n193.23.216.39 (C2)\r\n108.165.164.155 (C2)\r\n176.9.23.216 (C2)\r\n144.31.25.203\r\n144.31.106.23\r\n144.31.25.222\r\nhttps://pastebin.com/raw/5qLz9wAK\r\nhttps://pastebin.com/raw/qAKhdTLq\r\nhttps://ghostbin.axel.org/paste/xy359/raw\r\nhttps://rentry.co/MicrosoftAdvertisingEndpoint\r\nhttps://hart-hulp-ua.com/uploads/win64/Docs.rar\r\nhttps://hart-hulp-ua.com/uploads/win64/Inventory_list.docx\r\nhttps://hart-hulp-ua.com/uploads/win64/Inventory_list.docx\r\nhttp://144.31.25.222/uploads/win/Docs.rar\r\nhttps://solidarity-help.org/uploads/win/Inventory_list_new.docx\r\nhttps://solidarity-help.org/uploads/win/Inventory_list_new.docx.pif\r\nhttps://solidarity-help.org/uploads/win/blank_zvernenya.docx\r\nhttps://solidarity-help.org/uploads/win/blank_zvernenya.docx.pif\r\nhttps://saint-daniel.com/download/list.zip (St_Daniel_LIST.docx.lnk n/a)\r\nhttps://saint-daniel.org/download.php (list.rar n/a)\r\nhttps://saint-daniel.world/download.php (list.rar n/a)\r\nhttps://razem-ua.com/uploads/Inventory_List_pl.rtf.pif\r\nhttps://razem-ua.com/uploads/win/Inventory_list_pl.docx\r\nhttps://razem-ua.com/uploads/win/blank_zvernenya_pl.docx\r\nhttps://razem-ua.com/uploads/win/blank_zvernenya_pl.rtf.pif\r\nhttps://frontline-help[.]com/uploads/win/Inventory_list_sw.docx\r\nsaint-daniel.com (185.107.74.13; historical)\r\nhttps://cert.gov.ua/article/6286942\r\nPage 4 of 8\n\nsaint-daniel.org (144.31.25.203)\r\nsaint-daniel.world (83.217.208.184)\r\nhart-hulp-ua.com\r\nharthulp-ua.com\r\nsolidarity-help.com (144.31.106.23)\r\nsolidarity-help.org (144.31.106.23)\r\nrazem-ua.com (144.31.106.31)\r\nfrontline-help.com (193.23.199.14)\r\nХостові:\r\n%TMP%\\main.py\r\n%TMP%\\o.d.f.a.d.g.j.k.l.f.s.f.d.d.a.py\r\n%TMP%\\is.py\r\nC:\\Users\\User\\source\\repos\\MolineRebuild\\x64\\Release\\MolineRebuild.pdb (PDB)\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\'RealtekDevice'\r\nГрафічні зображення\r\nРис. 1 Приклад повідомлень від зловмисника\r\nhttps://cert.gov.ua/article/6286942\r\nPage 5 of 8\n\nРис. 2 Приклад вебсторінки, що імітує вебсайт благодійного фонду (1)\r\nРис. 3 Приклад вебсторінки, що імітує вебсайт благодійного фонду (2)\r\nhttps://cert.gov.ua/article/6286942\r\nPage 6 of 8\n\nРис. 4 Приклад вебсторінки, що імітує вебсайт благодійного фонду (3)\r\nРис. 5 Приклад програмного коду PLUGGYAPE\r\nhttps://cert.gov.ua/article/6286942\r\nPage 7 of 8\n\nРис. 6 Приклад програмного коду PLUGGYAPE.V2\r\nSource: https://cert.gov.ua/article/6286942\r\nhttps://cert.gov.ua/article/6286942\r\nPage 8 of 8\n\n   https://cert.gov.ua/article/6286942 \nРис. 2 Приклад вебсторінки, що імітує вебсайт благодійного фонду (1)\nРис. 3 Приклад вебсторінки, що імітує вебсайт благодійного фонду (2)\n   Page 6 of 8",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"references": [
		"https://cert.gov.ua/article/6286942"
	],
	"report_names": [
		"6286942"
	],
	"threat_actors": [
		{
			"id": "1f05374d-f103-4882-8f74-0c3081de112e",
			"created_at": "2025-06-29T02:01:57.226883Z",
			"updated_at": "2026-04-10T02:00:04.968464Z",
			"deleted_at": null,
			"main_name": "Void Blizzard",
			"aliases": [
				"Laundry Bear"
			],
			"source_name": "ETDA:Void Blizzard",
			"tools": [],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "dcb6e92a-83be-408c-bc06-80652883a996",
			"created_at": "2025-06-05T02:00:04.420438Z",
			"updated_at": "2026-04-10T02:00:03.88532Z",
			"deleted_at": null,
			"main_name": "Void Blizzard",
			"aliases": [
				"LAUNDRY BEAR",
				"UAC-0190"
			],
			"source_name": "MISPGALAXY:Void Blizzard",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434802,
	"ts_updated_at": 1775792009,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/fb033541c7f191f6c9dc830859661c80de4a8f5a.pdf",
		"text": "https://archive.orkl.eu/fb033541c7f191f6c9dc830859661c80de4a8f5a.txt",
		"img": "https://archive.orkl.eu/fb033541c7f191f6c9dc830859661c80de4a8f5a.jpg"
	}
}