APT28 i nowy duet malware: BadPaw + MeowMeow w kampanii przeciw Ukrainie

Wprowadzenie do problemu / definicja luki

Na początku marca 2026 r. badacze opisali ukierunkowaną kampanię phishingową wymierzoną w ukraińskie podmioty, w której pojawiają się dwie wcześniej nieudokumentowane rodziny złośliwego oprogramowania: BadPaw (loader w .NET) oraz MeowMeow (backdoor). Rdzeniem problemu nie jest pojedyncza „luka” CVE, ale złożony łańcuch infekcji oparty o socjotechnikę, wieloetapowe uruchamianie komponentów oraz mechanizmy utrudniające analizę i detekcję.

W skrócie

• Wejście: phishing z wiarygodnie wyglądającego nadawcy w domenie ukr[.]net, plus przynęta związana z „apelacją / sprawą graniczną”.
• Telemetria kliknięcia: ofiara jest kierowana najpierw na tracking pixel (miniaturowy obraz), co daje operatorom sygnał, iż link został otwarty.
• Dropper: archiwum ZIP zawiera plik udający HTML, który w praktyce jest HTA uruchamiającym kolejne etapy.
• Steganografia: VBScript wyciąga z obrazu PNG ukryty plik wykonywalny (PE) – tak powstaje loader BadPaw.
• Backdoor: BadPaw pobiera i instaluje MeowMeow, zdolny m.in. do uruchamiania poleceń PowerShell i operacji na plikach.
• Atrybucja: ClearSky ocenia kampanię jako rosyjsko-ukierunkowaną (wysoka pewność) oraz wiąże ją z APT28 tylko z niską pewnością; THN opisuje powiązanie z APT28 jako umiarkowane.

Kontekst / historia / powiązania

APT28 (znany też m.in. jako Fancy Bear / STRONTIUM / Forest Blizzard) to wieloletnio aktywny klaster działań przypisywany rosyjskim strukturom wojskowego wywiadu; w ATT&CK widnieje jako grupa G0007, aktywna co najmniej od 2004 r.
Microsoft w publicznych materiałach opisuje Forest Blizzard (d. STRONTIUM) jako aktora państwowego wykorzystującego m.in. spearphishing i techniki kradzieży poświadczeń, atakującego sektor rządowy, dyplomatyczny i obronny, w tym Ukrainę.

W omawianej kampanii istotny jest też „lokalny realizm” przynęty: narracja w języku ukraińskim i tematyka przekraczania granicy / urzędowej korespondencji. To typowa oś dla operacji szpiegowskich, gdzie liczy się nie masowość, a trafienie w konkretnych adresatów.

Analiza techniczna / szczegóły luki

Poniżej – łańcuch infekcji od kliknięcia do backdoora, w ujęciu „co robi napastnik” i „co widać w telemetryce”.

1. Inicjacja: phishing + telemetria kliknięcia

• Wiadomość pochodzi z adresu w ukr[.]net (według raportu: konkretna skrzynka nadawcy związana z narracją „graniczną”).
• Kliknięcie uruchamia dwa równoległe przekierowania:
  1. na domenę hostującą tracking pixel (sygnał „link kliknięty”),
  2. na skrócony URL, który inicjuje pobranie ZIP.

Warto detekcyjnie: nietypowa sekwencja przekierowań + pobranie archiwum po „mikro-obrazie” często wskazuje na kampanie z telemetrią skuteczności.

2. ZIP → HTA (podszycie pod HTML)

W archiwum znajduje się plik z rozszerzeniem .html, który w rzeczywistości jest HTA (HTML Application). Uruchomienie HTA:

• otwiera dokument-wabik (odwrócenie uwagi),
• w tle odpala kolejne etapy infekcji.

3. Anti-sandbox na starcie: „wiek systemu”

HTA sprawdza klucz rejestru HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate i przerywa działanie, jeżeli system jest „zbyt świeży” (mniej niż 10 dni). To klasyczny trik na unikanie automatycznych sandboxów i świeżych maszyn analityków.

4. Persistencja i steganografia: VBS + PNG

Kolejny etap to:

• wydobycie z ZIP VBScript i obrazu PNG,
• utworzenie Scheduled Task uruchamiającego VBS (persistencja),
• VBS parsuje PNG, szuka markera typu <STEGO_START> i wyciąga ukryty PE (zapisuje go jako osobny plik).

To ważne, bo w wielu środowiskach obrazki nie są traktowane jako nośnik „aktywny”, a tu PNG pełni rolę kontenera dla wykonywalnego loadera.

5. BadPaw: loader w .NET z „dummy mode”

BadPaw to komponent w .NET, dodatkowo pakowany/obfuskowany przez .NET Reactor, co utrudnia analizę statyczną.
Cechy wyróżniające:

• jeśli uruchomiony poza adekwatnym łańcuchem, wykonuje „fałszywą” logikę i pokazuje pozornie legalne GUI (w raporcie: narzędzie typu „Regex Finder”).
• właściwa złośliwa logika uruchamia się dopiero po podaniu parametru uruchomieniowego (np. -renew).

6. Komunikacja C2 i etapowe pobieranie payloadu

W raporcie wskazano infrastrukturę C2 oraz etapowe odpowiedzi serwera:

• po stronie sieci widać żądania do domeny C2 i endpointów typu /getcalendar, /eventmanager, /planneractivate,
• w jednym z etapów serwer zwraca stronę HTML zawierającą blok ASCII osadzony między znacznikami, który następnie jest dekodowany do kolejnego komponentu,
• po tym malware upuszcza m.in. pliki konfiguracyjne oraz finalny backdoor MeowMeow.

7. MeowMeow: backdoor z wielowarstwową ochroną

MeowMeow również wykorzystuje:

• obfuskację (.NET Reactor),
• „dummy mode” (fałszywe GUI z motywem kota; kliknięcie przycisku wyświetla komunikat, bez działań szkodliwych),
• uruchomienie złośliwej funkcjonalności dopiero przy właściwym parametrze (np. -v przekazywanym przez łańcuch infekcji),
• rozbudowane anti-analysis: wykrywanie narzędzi typu Wireshark/Procmon/Ollydbg/Fiddler i mechanizmów wirtualizacji, z przerwaniem pracy po detekcji.

Funkcjonalnie MeowMeow pozwala na:

• zdalne wykonywanie poleceń (wprost wskazywany PowerShell),
• operacje na plikach: sprawdzanie istnienia, odczyt/zapis/usuwanie.

Praktyczne konsekwencje / ryzyko

1. Szpiegostwo i dostęp długoterminowy: MeowMeow to backdoor, więc ryzyko obejmuje rekonesans, eksfiltrację i przygotowanie kolejnych etapów (np. kradzież dokumentów, utrzymanie przyczółka).
2. Trudniejsza analiza incydentu: „dummy mode” + parametry uruchomieniowe mogą powodować, iż próbki uruchamiane w izolacji wydają się „nieszkodliwe”, co opóźnia klasyfikację i reakcję.
3. Wysoka skuteczność spearphishingu: lokalny kontekst (ukraińska treść, tematyka graniczna, nadawca w ukr[.]net) zwiększa wiarygodność i szanse kliknięcia.

Rekomendacje operacyjne / co zrobić teraz

1. Szybkie działania defensywne (48–72h)

• Blokuj/ogranicz HTA i VBScript: jeżeli biznesowo możliwe, wyłącz obsługę lub uruchamianie mshta.exe, ogranicz wscript.exe/cscript.exe (ASR / AppLocker / WDAC). Łańcuch bazuje na HTA→VBS.
• Poluj na Scheduled Tasks tworzone nietypowo (nowe zadania uruchamiające VBS z katalogów użytkownika/tymczasowych) – to najważniejszy punkt persistencji.
• Detekcje EDR: alerty na procesy mshta.exe → wscript.exe + dostęp do plików PNG, a następnie uruchomienie nowego .exe z nietypowej ścieżki.
• Zasady proxy/DNS: dodaj blokady i alerty na domeny i ścieżki opisane w raporcie (C2 i tracking), oraz na nietypowe sekwencje przekierowań (pixel → pobranie ZIP).

2. Hardening i odporność na kampanie podobnego typu

• Zaostrzenie polityk pocztowych: filtrowanie linków do archiwów, sandboxing załączników/URL, ostrzeganie o skracaczach linków. (Tu skrócony URL był elementem łańcucha.)
• Least privilege + segmentacja: backdoor z PowerShell to paliwo do ruchu bocznego i działań post-exploitation — ogranicz uprawnienia lokalne i lateral movement.
• Ćwiczenia socjotechniczne: scenariusze „urząd / dokument graniczny / potwierdzenie” dopasowane do realiów odbiorców są dziś ważniejsze niż ogólne szkolenia.

Różnice / porównania z innymi przypadkami

Na tle „typowych” loaderów .NET, ta kampania wyróżnia się trzema elementami praktycznie podnoszącymi koszt obrony:

1. Steganografia w PNG jako kanał przeniesienia PE (utrudnia polityki oparte o typy plików).
2. Podwójna przynęta: wabik dokumentu + „dummy GUI” w przypadku uruchomienia poza łańcuchem (utrudnia triage i reverse engineering).
3. Parametry uruchomieniowe jako „klucz” do aktywacji złośliwych funkcji — bez nich próbka może wyglądać na nieszkodliwą.

Podsumowanie / najważniejsze wnioski

BadPaw i MeowMeow pokazują, iż spearphishing przez cały czas jest skuteczny, gdy jest konsekwentnie lokalizowany, a technicznie wzmacniany przez wieloetapowość, steganografię i anti-analysis. Raport ClearSky sugeruje silne powiązania z rosyjskim ekosystemem operacji przeciw Ukrainie, przy ostrożności w przypisywaniu tego konkretnie do APT28.
Dla obrony najważniejsze są: kontrola HTA/VBS, monitoring Scheduled Tasks, oraz detekcje na łańcuch procesów i nietypowe pobrania/redirecty.

Źródła / bibliografia

1. ClearSky, BadPaw and MeowMeow (raport PDF, marzec 2026). (clearskysec.com)
2. The Hacker News, APT28-Linked Campaign Deploys BadPaw Loader and MeowMeow Backdoor in Ukraine (05.03.2026). (The Hacker News)
3. The Record (Recorded Future News), Russian hackers deploy new malware in phishing campaign targeting Ukraine (04.03.2026). (The Record from Recorded Future)
4. MITRE ATT&CK, APT28 (G0007). (attack.mitre.org)
5. Microsoft Security Insider, Threat Actor: Forest Blizzard (formerly STRONTIUM). (Microsoft)