Las autoridades judiciales francesas, en colaboración con Europol, han lanzado una «operación de desinfección» para eliminar los hosts comprometidos de un conocido malware llamado PlugX.
La Fiscalía de París, dicho La iniciativa se lanzó el 18 de julio y se espera que continúe durante “varios meses”.
Precisó además que alrededor de un centenar de víctimas situadas en Francia, Malta, Portugal, Croacia, Eslovaquia y Austria ya se han beneficiado de las labores de limpieza.
El desarrollo se produce casi tres meses después de que la empresa francesa de ciberseguridad Sekoia revelara que hackeó con éxito un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023 gastando 7 dólares para adquirir la dirección IP. También señaló que casi 100.000 direcciones IP públicas únicas enviaban solicitudes PlugX al dominio incautado diariamente.
PlugX (también conocido como Korplug) es un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas relacionados con China desde al menos 2008, junto con otras familias de malware como Gh0st RAT y ShadowPad.
El malware generalmente se lanza en hosts comprometidos utilizando técnicas de descarga de DLL, lo que permite a los actores de amenazas ejecutar comandos arbitrarios, cargar/descargar archivos, enumerar archivos y recopilar datos confidenciales.
«Esta puerta trasera, desarrollada inicialmente por Zhao Jibin (también conocido como WHG), ha evolucionado con el tiempo hacia diferentes variaciones», dijo Sekoia. dicho principio de abril. “El fabricante de PlugX fue compartido entre varios grupos de intrusos, la mayoría de ellos atribuidos a empresas fachada vinculadas al Ministerio de Seguridad del Estado de China. »
A lo largo de los años también se le ha incorporado un componente antiparasitario que permite su propagación a través de unidades USB infectadasevitando efectivamente redes aisladas.
Sekoia, que diseñó una solución para eliminar PlugX, dijo que las variantes del malware con mecanismo de distribución USB vienen con un comando de autoeliminación («0x1005») para eliminarse de las estaciones de trabajo comprometidas, aunque actualmente no hay forma de eliminarlo de las Los propios dispositivos USB.
«En primer lugar, el gusano tiene la capacidad de sobrevivir en redes aisladas, lo que hace que estas infecciones estén fuera de nuestro alcance», afirmó. “En segundo lugar, y quizás lo más notable, el gusano PlugX puede residir en dispositivos USB infectados durante un período prolongado sin que estén conectados a una estación de trabajo. »
Dadas las complicaciones legales de eliminar remotamente el malware de los sistemas, la compañía también dijo que aplazará la decisión a los Equipos Nacionales de Respuesta a Emergencias Informáticas (CERT), las fuerzas del orden (LEA) y las autoridades de ciberseguridad.
“Tras un informe de Sekoia.io, las autoridades judiciales francesas lanzaron una operación de desinfección para desmantelar la botnet controlada por el gusano PlugX. PlugX ha impactado a varios millones de víctimas en todo el mundo”, dijo Sekoia a The Hacker News. “Una solución de desinfección desarrollada por el equipo de TDR en Sekoia.io se ofreció a través de Europol a los países socios y actualmente se está implementando. »
« Nous nous réjouissons de la coopération fructueuse avec les acteurs impliqués en France (section J3 du Parquet de Paris, Police, Gendarmerie et ANSSI) et à l’international (Europol et forces de police de pays tiers) pour lutter contre les cyberactivités malveillantes de larga duracion. »
