Les autorités judiciaires françaises, en collaboration avec Europol, ont lancé une « opération de désinfection » pour débarrasser les hôtes compromis d’un malware connu appelé PlugX.
Le Parquet de Paris, dit L’initiative a été lancée le 18 juillet et devrait se poursuivre pendant « plusieurs mois ».
Elle a également précisé qu’une centaine de victimes situées en France, à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche ont déjà bénéficié des efforts de nettoyage.
Cette évolution intervient près de trois mois après que la société française de cybersécurité Sekoia a révélé avoir réussi à pirater un serveur de commande et de contrôle (C2) lié au cheval de Troie PlugX en septembre 2023 en dépensant 7 dollars pour acquérir l’adresse IP. Elle a également noté que près de 100 000 adresses IP publiques uniques envoyaient quotidiennement des requêtes PlugX au domaine saisi.
PlugX (alias Korplug) est un cheval de Troie d’accès à distance (RAT) largement utilisé par les acteurs de la menace liée à la Chine depuis au moins 2008, aux côtés d’autres familles de logiciels malveillants comme Gh0st RAT et ShadowPad.
Le logiciel malveillant est généralement lancé sur des hôtes compromis à l’aide de techniques de chargement latéral de DLL, permettant aux acteurs de la menace d’exécuter des commandes arbitraires, de télécharger/télécharger des fichiers, d’énumérer des fichiers et de récolter des données sensibles.
« Cette porte dérobée, initialement développée par Zhao Jibin (alias WHG), a évolué au fil du temps dans différentes variantes », a déclaré Sekoia. dit début avril. « Le constructeur PlugX a été partagé entre plusieurs groupes d’intrusion, la plupart d’entre eux attribués à des sociétés écrans liées au ministère chinois de la Sécurité d’État. »
Au fil des années, il a également incorporé un composant vermifuge qui lui permet d’être propagé via clés USB infectéescontournant efficacement les réseaux isolés.
Sekoia, qui a conçu une solution pour supprimer PlugX, a déclaré que les variantes du malware avec le mécanisme de distribution USB sont livrées avec une commande d’auto-suppression (« 0x1005 ») pour se supprimer des postes de travail compromis, bien qu’il n’existe actuellement aucun moyen de le supprimer des périphériques USB eux-mêmes.
« Tout d’abord, le ver a la capacité de survivre sur des réseaux isolés, ce qui rend ces infections hors de notre portée », a-t-il déclaré. « Deuxièmement, et c’est peut-être plus remarquable, le ver PlugX peut résider sur des périphériques USB infectés pendant une période prolongée sans qu’ils soient connectés à un poste de travail. »
Compte tenu des complications juridiques liées à l’effacement à distance des logiciels malveillants des systèmes, la société a également indiqué qu’elle reportait la décision aux équipes nationales d’intervention d’urgence informatique (CERT), aux forces de l’ordre (LEA) et aux autorités de cybersécurité.
« Suite à un signalement de Sekoia.io, une opération de désinfection a été lancée par les autorités judiciaires françaises pour démanteler le botnet contrôlé par le ver PlugX. PlugX a touché plusieurs millions de victimes dans le monde », a déclaré Sekoia à The Hacker News. « Une solution de désinfection développée par l’équipe TDR de Sekoia.io a été proposée via Europol aux pays partenaires et est en cours de déploiement en ce moment. »
« Nous nous réjouissons de la coopération fructueuse avec les acteurs impliqués en France (section J3 du Parquet de Paris, Police, Gendarmerie et ANSSI) et à l’international (Europol et forces de police de pays tiers) pour lutter contre les cyberactivités malveillantes de longue durée. »