{"id":1159467,"date":"2024-02-21T13:20:28","date_gmt":"2024-02-21T15:20:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/mustang-panda-cible-lasie-avec-la-variante-avancee-plugx-doplugs\/"},"modified":"2024-02-21T13:20:32","modified_gmt":"2024-02-21T15:20:32","slug":"mustang-panda-cible-lasie-avec-la-variante-avancee-plugx-doplugs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/mustang-panda-cible-lasie-avec-la-variante-avancee-plugx-doplugs\/","title":{"rendered":"Mustang Panda cible l\u2019Asie avec la variante avanc\u00e9e PlugX DOPLUGS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/cyberespionnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Mustang-Panda-cible-lAsie-avec-la-variante-avancee-PlugX-DOPLUGS.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Chine, connu sous le nom de Mustang Panda, a cibl\u00e9 divers pays asiatiques en utilisant une variante de la porte d\u00e9rob\u00e9e PlugX (alias Korplug) baptis\u00e9e DOPLUGS.<\/p>\n<p>&#8220;Le malware PlugX personnalis\u00e9 est diff\u00e9rent du type g\u00e9n\u00e9ral de malware PlugX qui contient un module de commande de porte d\u00e9rob\u00e9e complet, et le premier n&#8217;est utilis\u00e9 que pour t\u00e9l\u00e9charger le second&#8221;, ont d\u00e9clar\u00e9 Sunny Lu et Pierre Lee, chercheurs de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/b\/earth-preta-campaign-targets-asia-doplugs.html\" target=\"_blank\">dit<\/a> dans une nouvelle r\u00e9daction technique.<\/p>\n<p>Les cibles des DOPLUGS se situent principalement \u00e0 Taiwan et au Vietnam, et dans une moindre mesure \u00e0 Hong Kong, en Inde, au Japon, en Malaisie, en Mongolie et m\u00eame en Chine.<\/p>\n<p>PlugX est un outil de base de Mustang Panda, qui est \u00e9galement suivi sous les noms BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 et TEMP.Hex.  On sait qu\u2019il est actif depuis au moins 2012, bien qu\u2019il ait \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en 2017.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/boundaries728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708021586_957_Ivanti-Pulse-Secure-detecte-a-laide-dune-version-Linux-vieille.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le m\u00e9tier de l&#8217;acteur malveillant consiste \u00e0 mener des campagnes de spear phishing bien con\u00e7ues, con\u00e7ues pour d\u00e9ployer des logiciels malveillants personnalis\u00e9s.  Il a \u00e9galement fait ses preuves dans le d\u00e9ploiement de ses propres variantes PlugX personnalis\u00e9es telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/blog\/reddelta-targets-catholic-organizations\" target=\"_blank\">RougeDelta<\/a>Thor, Hodur et DOPLUGS (distribu\u00e9s via une campagne nomm\u00e9e SmugX) depuis 2018.<\/p>\n<p>Les cha\u00eenes de compromission exploitent un ensemble de tactiques distinctes, utilisant des messages de phishing comme canal pour fournir une charge utile de premi\u00e8re \u00e9tape qui, tout en affichant un document leurre au destinataire, d\u00e9compresse secr\u00e8tement un ex\u00e9cutable l\u00e9gitime et sign\u00e9 qui est vuln\u00e9rable au chargement lat\u00e9ral de DLL afin de chargez lat\u00e9ralement une biblioth\u00e8que de liens dynamiques (DLL), qui, \u00e0 son tour, d\u00e9chiffre et ex\u00e9cute PlugX.<\/p>\n<p>Le malware PlugX r\u00e9cup\u00e8re ensuite le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) Poison Ivy ou Cobalt Strike Beacon pour \u00e9tablir une connexion avec un serveur contr\u00f4l\u00e9 par Mustang Panda.<\/p>\n<p>En d\u00e9cembre 2023, Lab52 a d\u00e9couvert une campagne Mustang Panda ciblant les entit\u00e9s politiques, diplomatiques et gouvernementales ta\u00efwanaises avec DOPLUGS, mais avec une diff\u00e9rence notable.<\/p>\n<p>&#8220;La DLL malveillante est \u00e9crite dans le langage de programmation Nim&#8221;, Lab52 <a rel=\"nofollow noopener\" href=\"https:\/\/lab52.io\/blog\/mustang-pandas-plugx-new-variant-targetting-taiwanese-government-and-diplomats\/\" target=\"_blank\">dit<\/a>.  &#8220;Cette nouvelle variante utilise sa propre impl\u00e9mentation de l&#8217;algorithme RC4 pour d\u00e9crypter PlugX, contrairement aux versions pr\u00e9c\u00e9dentes qui utilisaient la biblioth\u00e8que Windows Cryptsp.dll.&#8221;<\/p>\n<p>DOPLUGS, document\u00e9 pour la premi\u00e8re fois par Secureworks en septembre 2022, est un t\u00e9l\u00e9chargeur dot\u00e9 de quatre commandes de porte d\u00e9rob\u00e9e, dont l&#8217;une est orchestr\u00e9e pour t\u00e9l\u00e9charger le type g\u00e9n\u00e9ral de malware PlugX.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Trend Micro a d\u00e9clar\u00e9 avoir \u00e9galement identifi\u00e9 des \u00e9chantillons DOPLUGS int\u00e9gr\u00e9s \u00e0 un module connu sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2020\/11\/04\/a-new-apt-uses-dll-side-loads-to-killlsomeone\/\" target=\"_blank\">Tuer quelqu&#8217;un<\/a>un plugin responsable de la distribution de logiciels malveillants, de la collecte d&#8217;informations et du vol de documents via des cl\u00e9s USB.<\/p>\n<p>Cette variante est \u00e9quip\u00e9e d&#8217;un composant de lancement suppl\u00e9mentaire qui ex\u00e9cute l&#8217;ex\u00e9cutable l\u00e9gitime pour effectuer le chargement lat\u00e9ral des DLL, en plus de prendre en charge la fonctionnalit\u00e9 permettant d&#8217;ex\u00e9cuter des commandes et de t\u00e9l\u00e9charger le logiciel malveillant de l&#8217;\u00e9tape suivante \u00e0 partir d&#8217;un serveur contr\u00f4l\u00e9 par un acteur.<\/p>\n<p>Il convient de noter qu&#8217;une variante personnalis\u00e9e de PlugX, comprenant le module KillSomeOne con\u00e7u pour la diffusion via USB, a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.avira.com\/en\/blog\/new-wave-of-plugx-targets-hong-kong\" target=\"_blank\">d\u00e9couvert<\/a> d\u00e8s janvier 2020 par Avira dans le cadre d\u2019attaques dirig\u00e9es contre Hong Kong et le Vietnam.<\/p>\n<p>&#8220;Cela montre qu&#8217;Earth Preta affine ses outils depuis un certain temps d\u00e9j\u00e0, en ajoutant constamment de nouvelles fonctionnalit\u00e9s et caract\u00e9ristiques&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Le groupe reste tr\u00e8s actif, notamment en Europe et en Asie.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/mustang-panda-targets-asia-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 f\u00e9vrier 2024\ue804R\u00e9dactionLogiciels malveillants\/cyberespionnage L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Chine, connu sous le nom de Mustang Panda, a cibl\u00e9 divers pays asiatiques en utilisant une variante de la porte d\u00e9rob\u00e9e PlugX (alias Korplug) baptis\u00e9e DOPLUGS. &#8220;Le malware PlugX personnalis\u00e9 est diff\u00e9rent du type g\u00e9n\u00e9ral de malware PlugX qui contient un module de commande de porte [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1159468,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,1837,84,7087,4168,4165,4161,200267,231066,4159,4171,47526,200271,200268,13794,200269,200270,31720,56655,128318,4172,4169,25900,4166,4164],"class_list":["post-1159467","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avancee","tag-avec","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-doplugs","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lasie","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-mustang","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-panda","tag-plugx","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1159467","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1159467"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1159467\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1159468"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1159467"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1159467"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1159467"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}