L’acteur menaçant lié à la Chine, connu sous le nom de Mustang Panda, a ciblé divers pays asiatiques en utilisant une variante de la porte dérobée PlugX (alias Korplug) baptisée DOPLUGS.
« Le malware PlugX personnalisé est différent du type général de malware PlugX qui contient un module de commande de porte dérobée complet, et le premier n’est utilisé que pour télécharger le second », ont déclaré Sunny Lu et Pierre Lee, chercheurs de Trend Micro. dit dans une nouvelle rédaction technique.
Les cibles des DOPLUGS se situent principalement à Taiwan et au Vietnam, et dans une moindre mesure à Hong Kong, en Inde, au Japon, en Malaisie, en Mongolie et même en Chine.
PlugX est un outil de base de Mustang Panda, qui est également suivi sous les noms BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 et TEMP.Hex. On sait qu’il est actif depuis au moins 2012, bien qu’il ait été révélé pour la première fois en 2017.
Le métier de l’acteur malveillant consiste à mener des campagnes de spear phishing bien conçues, conçues pour déployer des logiciels malveillants personnalisés. Il a également fait ses preuves dans le déploiement de ses propres variantes PlugX personnalisées telles que RougeDeltaThor, Hodur et DOPLUGS (distribués via une campagne nommée SmugX) depuis 2018.
Les chaînes de compromission exploitent un ensemble de tactiques distinctes, utilisant des messages de phishing comme canal pour fournir une charge utile de première étape qui, tout en affichant un document leurre au destinataire, décompresse secrètement un exécutable légitime et signé qui est vulnérable au chargement latéral de DLL afin de chargez latéralement une bibliothèque de liens dynamiques (DLL), qui, à son tour, déchiffre et exécute PlugX.
Le malware PlugX récupère ensuite le cheval de Troie d’accès à distance (RAT) Poison Ivy ou Cobalt Strike Beacon pour établir une connexion avec un serveur contrôlé par Mustang Panda.
En décembre 2023, Lab52 a découvert une campagne Mustang Panda ciblant les entités politiques, diplomatiques et gouvernementales taïwanaises avec DOPLUGS, mais avec une différence notable.
« La DLL malveillante est écrite dans le langage de programmation Nim », Lab52 dit. « Cette nouvelle variante utilise sa propre implémentation de l’algorithme RC4 pour décrypter PlugX, contrairement aux versions précédentes qui utilisaient la bibliothèque Windows Cryptsp.dll. »
DOPLUGS, documenté pour la première fois par Secureworks en septembre 2022, est un téléchargeur doté de quatre commandes de porte dérobée, dont l’une est orchestrée pour télécharger le type général de malware PlugX.
Trend Micro a déclaré avoir également identifié des échantillons DOPLUGS intégrés à un module connu sous le nom de Tuer quelqu’unun plugin responsable de la distribution de logiciels malveillants, de la collecte d’informations et du vol de documents via des clés USB.
Cette variante est équipée d’un composant de lancement supplémentaire qui exécute l’exécutable légitime pour effectuer le chargement latéral des DLL, en plus de prendre en charge la fonctionnalité permettant d’exécuter des commandes et de télécharger le logiciel malveillant de l’étape suivante à partir d’un serveur contrôlé par un acteur.
Il convient de noter qu’une variante personnalisée de PlugX, comprenant le module KillSomeOne conçu pour la diffusion via USB, a été découvert dès janvier 2020 par Avira dans le cadre d’attaques dirigées contre Hong Kong et le Vietnam.
« Cela montre qu’Earth Preta affine ses outils depuis un certain temps déjà, en ajoutant constamment de nouvelles fonctionnalités et caractéristiques », ont déclaré les chercheurs. « Le groupe reste très actif, notamment en Europe et en Asie. »