El actor de amenazas vinculado a China conocido como Mustang Panda se ha dirigido a varios pa\u00edses asi\u00e1ticos utilizando una variante de la puerta trasera PlugX (tambi\u00e9n conocida como Korplug) denominada DOPLUGS.<\/p>\n
“La pieza de malware PlugX personalizado es diferente al tipo general de malware PlugX que contiene un m\u00f3dulo de comando de puerta trasera completo y que el primero s\u00f3lo se utiliza para descargar el segundo”, afirman los investigadores de Trend Micro Sunny Lu y Pierre Lee. dicho<\/a> en un nuevo art\u00edculo t\u00e9cnico.<\/p>\n Los objetivos de DOPLUGS se han ubicado principalmente en Taiw\u00e1n y Vietnam y, en menor medida, en Hong Kong, India, Jap\u00f3n, Malasia, Mongolia e incluso China.<\/p>\n PlugX es una herramienta b\u00e1sica de Mustang Panda, que tambi\u00e9n se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP.Hex. Se sabe que est\u00e1 activo desde al menos 2012, aunque sali\u00f3 a la luz por primera vez en 2017.<\/p>\n El oficio del actor de amenazas implica llevar a cabo campa\u00f1as de phishing bien dise\u00f1adas que est\u00e1n dise\u00f1adas para implementar malware personalizado. Tambi\u00e9n tiene un historial de implementaci\u00f3n de sus propias variantes personalizadas de PlugX, como DeltaRojo<\/a>Thor, Hodur y DOPLUGS (distribuidos a trav\u00e9s de una campa\u00f1a denominada SmugX) desde 2018.<\/p>\n Las cadenas de compromiso aprovechan un conjunto de t\u00e1cticas distintas, utilizando mensajes de phishing como conducto para entregar una carga \u00fatil de primera etapa que, mientras muestra un documento se\u00f1uelo al destinatario, descomprime encubiertamente un ejecutable leg\u00edtimo y firmado que es vulnerable a la carga lateral de DLL para poder cargue lateralmente una biblioteca de enlaces din\u00e1micos (DLL), que, a su vez, descifra y ejecuta PlugX.<\/p>\n Posteriormente, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexi\u00f3n con un servidor controlado por Mustang Panda.<\/p>\n En diciembre de 2023, Lab52 descubri\u00f3 una campa\u00f1a de Mustang Panda dirigida a entidades pol\u00edticas, diplom\u00e1ticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.<\/p>\n “La DLL maliciosa est\u00e1 escrita en el lenguaje de programaci\u00f3n Nim”, Lab52 dicho<\/a>. “Esta nueva variante utiliza su propia implementaci\u00f3n del algoritmo RC4 para descifrar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Cryptsp.dll de Windows”.<\/p>\n DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales est\u00e1 dise\u00f1ado para descargar el tipo general de malware PlugX.<\/p>\n Trend Micro dijo que tambi\u00e9n identific\u00f3 muestras de DOPLUGS integradas con un m\u00f3dulo conocido como matar a alguien<\/a>un complemento responsable de la distribuci\u00f3n de malware, la recopilaci\u00f3n de informaci\u00f3n y el robo de documentos a trav\u00e9s de unidades USB.<\/p>\n Esta variante viene equipada con un componente de inicio adicional que ejecuta el ejecutable leg\u00edtimo para realizar la descarga de DLL, adem\u00e1s de admitir la funcionalidad para ejecutar comandos y descargar el malware de la siguiente etapa desde un servidor controlado por el actor.<\/p>\n Vale la pena se\u00f1alar que se lanz\u00f3 una variante personalizada de PlugX, que incluye el m\u00f3dulo KillSomeOne dise\u00f1ado para propagarse a trav\u00e9s de USB. descubierto<\/a> ya en enero de 2020 por parte de Avira como parte de los ataques dirigidos contra Hong Kong y Vietnam.<\/p>\n “Esto demuestra que Earth Preta ha estado perfeccionando sus herramientas desde hace alg\u00fan tiempo, a\u00f1adiendo constantemente nuevas funcionalidades y caracter\u00edsticas”, dijeron los investigadores. “El grupo sigue siendo muy activo, especialmente en Europa y Asia”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Mustang-Panda-apunta-a-Asia-con-la-variante-avanzada-PlugX.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n