El Departamento de Justicia de EE.UU. (DoJ) reveló el martes que una operación autorizada por el tribunal permitió a la Oficina Federal de Investigaciones (FBI) eliminar el malware PlugX de más de 4.250 computadoras infectadas como parte de una “operación policial de varios meses”.
PlugX, también conocido como Korplug, es un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas asociados con la República Popular China (RPC), que permite el robo de información y el control remoto de dispositivos comprometidos.
Un declaración jurada presentado por el FBI señaló que la variante PlugX identificada está vinculada a un grupo de piratería patrocinado por el estado llamado Mustang Panda, que también se conoce como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y Twill Typhoon.
“Desde al menos 2014, los piratas informáticos del Mustang Panda se infiltraron en miles de sistemas informáticos en campañas dirigidas a víctimas estadounidenses, así como a gobiernos y empresas europeos y asiáticos, y a grupos disidentes chinos”, afirma el Departamento de Justicia. dicho.
Algunos de los otros objetivos de las campañas del actor de amenazas incluyen Taiwán, Hong Kong, Japón, Corea del Sur, Mongolia, India, Myanmar, Indonesia, Filipinas, Tailandia, Vietnam y Pakistán.
La interrupción es parte de un esfuerzo de “desinfección” más amplio que comenzó a fines de julio de 2024 para eliminar el malware PlugX de los sistemas comprometidos. Los detalles de la actividad fueron compartidos previamente por la Fiscalía de París y la empresa de ciberseguridad Sekoia.
Como detalló anteriormente Sekoia, se sabe que esta variante específica de PlugX se propaga a otros sistemas a través de dispositivos USB conectados. El malware, una vez instalado, se dirige a un servidor controlado por el atacante (“45.142.166[.]112”) para esperar más comandos para recopilar datos del host.
A fines de abril de 2024, la compañía también reveló que gastó solo $7 para hundir el servidor accesible en la dirección IP en cuestión, abriendo así la puerta para emitir un comando de autoeliminación para borrar el malware de las máquinas infectadas.
El comando llevó a cabo los pasos que se enumeran a continuación:
- Elimine los archivos creados por el malware PlugX en la computadora víctima
- Elimine las claves de registro de PlugX utilizadas para ejecutar automáticamente la aplicación PlugX cuando se inicia la computadora víctima
- Cree un archivo de script temporal para eliminar la aplicación PlugX después de detenerla
- Detenga la aplicación PlugX
- Ejecute el archivo temporal para eliminar la aplicación PlugX, elimine el directorio creado en la computadora víctima por el malware PlugX para almacenar los archivos PlugX y elimine el archivo temporal de la computadora víctima
El FBI dijo que el comando de autoeliminación no afecta ninguna función o archivo legítimo en los dispositivos objetivo ubicados dentro de los EE. UU. ni transmite ningún otro dato desde ellos.
El mes pasado, Sekoia dijo que se emitieron hasta 59.475 cargas útiles de desinfección dirigidas a 5.539 direcciones IP como parte de un marco legal que se estableció para llevar a cabo el proceso de desinfección PlugX para 10 países.
“Este ataque de amplio alcance e infección a largo plazo de miles de computadoras basadas en Windows, incluidas muchas computadoras domésticas en los Estados Unidos, demuestra la imprudencia y agresividad de los piratas informáticos patrocinados por el estado de la República Popular China”, dijo el Fiscal General Adjunto Matthew G. Olsen de N del Departamento de Justicia
About the Author
