Las autoridades judiciales francesas, en colaboración con Europol, han lanzado una denominada «operación de desinfección» para eliminar de los servidores comprometidos un malware conocido llamado PlugX.
La Fiscalía de París, Parquet de Paris, dicho La iniciativa se lanzó el 18 de julio y se espera que continúe durante «varios meses».
Dijo además que alrededor de un centenar de víctimas ubicadas en Francia, Malta, Portugal, Croacia, Eslovaquia y Austria ya se han beneficiado de los esfuerzos de limpieza.
El desarrollo se produce casi tres meses después de que la empresa francesa de ciberseguridad Sekoia revelara que había pirateado un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023 al gastar 7 dólares para adquirir la dirección IP. También señaló que casi 100.000 direcciones IP públicas únicas han estado enviando solicitudes PlugX diariamente al dominio confiscado.
PlugX (también conocido como Korplug) es un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas vinculados con China desde al menos 2008, junto con otras familias de malware como Gh0st RAT y ShadowPad.
El malware generalmente se lanza dentro de hosts comprometidos mediante técnicas de carga lateral de DLL, lo que permite a los actores de amenazas ejecutar comandos arbitrarios, cargar/descargar archivos, enumerar archivos y recolectar datos confidenciales.
«Esta puerta trasera, desarrollada inicialmente por Zhao Jibin (también conocido como WHG), evolucionó a lo largo del tiempo en diferentes variantes», dijo Sekoia. dicho A principios de abril, «el generador PlugX fue compartido entre varios grupos de intrusos, la mayoría de ellos atribuidos a empresas fachada vinculadas al Ministerio de Seguridad del Estado chino».
A lo largo de los años, también ha incorporado un componente desparasitante que permite su propagación a través de unidades USB infectadasevitando eficazmente las redes con espacios de aire.
Sekoia, que ideó una solución para eliminar PlugX, dijo que las variantes del malware con el mecanismo de distribución USB vienen con un comando de autoeliminación («0x1005») para eliminarse de las estaciones de trabajo comprometidas, aunque actualmente no hay forma de eliminarlo de los dispositivos USB.
«En primer lugar, el gusano tiene la capacidad de existir en redes aisladas, lo que hace que estas infecciones estén fuera de nuestro alcance», dijo. «En segundo lugar, y quizás más notable, el gusano PlugX puede residir en dispositivos USB infectados durante un período prolongado sin estar conectado a una estación de trabajo».
Dadas las complicaciones legales involucradas en la eliminación remota del malware de los sistemas, la compañía señaló además que está dejando la decisión en manos de los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales, las agencias de aplicación de la ley (LEA) y las autoridades de ciberseguridad.
«Tras un informe de Sekoia.io, las autoridades judiciales francesas han puesto en marcha una operación de desinfección para desmantelar la botnet controlada por el gusano PlugX. PlugX ha afectado a varios millones de víctimas en todo el mundo», ha declarado Sekoia a The Hacker News. «Una solución de desinfección desarrollada por el equipo TDR de Sekoia.io ha sido propuesta a través de Europol a los países socios y se está implantando en estos momentos».
«Estamos satisfechos de la fructífera cooperación con los actores implicados en Francia (sección J3 de la Fiscalía de París, Policía, Gendarmería y ANSSI) e internacionales (Europol y fuerzas de policía de terceros países) para actuar contra actividades cibernéticas maliciosas de larga duración».