El actor de amenazas vinculado a China conocido como Mustang Panda se ha dirigido a varios países asiáticos utilizando una variante de la puerta trasera PlugX (también conocida como Korplug) denominada DOPLUGS.
«La pieza de malware PlugX personalizado es diferente al tipo general de malware PlugX que contiene un módulo de comando de puerta trasera completo y que el primero sólo se utiliza para descargar el segundo», afirman los investigadores de Trend Micro Sunny Lu y Pierre Lee. dicho en un nuevo artículo técnico.
Los objetivos de DOPLUGS se han ubicado principalmente en Taiwán y Vietnam y, en menor medida, en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.
PlugX es una herramienta básica de Mustang Panda, que también se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP.Hex. Se sabe que está activo desde al menos 2012, aunque salió a la luz por primera vez en 2017.
El oficio del actor de amenazas implica llevar a cabo campañas de phishing bien diseñadas que están diseñadas para implementar malware personalizado. También tiene un historial de implementación de sus propias variantes personalizadas de PlugX, como DeltaRojoThor, Hodur y DOPLUGS (distribuidos a través de una campaña denominada SmugX) desde 2018.
Las cadenas de compromiso aprovechan un conjunto de tácticas distintas, utilizando mensajes de phishing como conducto para entregar una carga útil de primera etapa que, mientras muestra un documento señuelo al destinatario, descomprime encubiertamente un ejecutable legítimo y firmado que es vulnerable a la carga lateral de DLL para poder cargue lateralmente una biblioteca de enlaces dinámicos (DLL), que, a su vez, descifra y ejecuta PlugX.
Posteriormente, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.
En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.
«La DLL maliciosa está escrita en el lenguaje de programación Nim», Lab52 dicho. «Esta nueva variante utiliza su propia implementación del algoritmo RC4 para descifrar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Cryptsp.dll de Windows».
DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales está diseñado para descargar el tipo general de malware PlugX.
Trend Micro dijo que también identificó muestras de DOPLUGS integradas con un módulo conocido como matar a alguienun complemento responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.
Esta variante viene equipada con un componente de inicio adicional que ejecuta el ejecutable legítimo para realizar la descarga de DLL, además de admitir la funcionalidad para ejecutar comandos y descargar el malware de la siguiente etapa desde un servidor controlado por el actor.
Vale la pena señalar que se lanzó una variante personalizada de PlugX, que incluye el módulo KillSomeOne diseñado para propagarse a través de USB. descubierto ya en enero de 2020 por parte de Avira como parte de los ataques dirigidos contra Hong Kong y Vietnam.
«Esto demuestra que Earth Preta ha estado perfeccionando sus herramientas desde hace algún tiempo, añadiendo constantemente nuevas funcionalidades y características», dijeron los investigadores. «El grupo sigue siendo muy activo, especialmente en Europa y Asia».