PlugX puede residir en dispositivos USB infectados durante un período prolongado
Las autoridades judiciales francesas, en colaboración con Europol, han lanzado una denominada "operación de desinfección" para eliminar de los servidores comprometidos un malware conocido llamado PlugX.
La fiscalía de París, Parquet de Paris, indicó que la iniciativa se lanzó el 18 de julio y que se espera que continúe durante "varios meses".
Dijo además que alrededor de un centenar de víctimas ubicadas en Francia, Malta, Portugal, Croacia, Eslovaquia y Austria ya se han beneficiado de los esfuerzos de limpieza.
El desarrollo se produce casi tres meses después de que la empresa francesa de ciberseguridad Sekoia revelara que había accedido a un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023 al gastar $7 para adquirir la dirección IP. También señaló que casi 100.000 direcciones IP públicas únicas han estado enviando solicitudes PlugX diariamente al dominio confiscado.
PlugX (también conocido como Korplug) es un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas vinculados con China desde al menos 2008, junto con otras familias de malware como Gh0st RAT y ShadowPad.
El malware generalmente se lanza dentro de hosts comprometidos mediante técnicas de carga lateral de DLL, lo que permite a los actores de amenazas ejecutar comandos arbitrarios, cargar/descargar archivos, enumerar archivos y recolectar datos confidenciales.
"Esta puerta trasera, desarrollada inicialmente por Zhao Jibin (también conocido como WHG), evolucionó a lo largo del tiempo en diferentes variantes", dijo Sekoia a principios de abril. "El constructor PlugX fue compartido entre varios grupos de intrusos, la mayoría de ellos atribuidos a empresas fachada vinculadas al Ministerio de Seguridad del Estado de China".
A lo largo de los años, también ha incorporado un componente gusano que le permite propagarse a través de unidades USB infectadas, evitando eficazmente las redes con espacio de aire.
Sekoia, que ideó una solución para eliminar PlugX, dijo que las variantes del malware con el mecanismo de distribución USB vienen con un comando de autoeliminación ("0x1005") para eliminarlo de las estaciones de trabajo comprometidas, aunque actualmente no hay forma de eliminarlo de los dispositivos USB.
"En primer lugar, el gusano tiene la capacidad de existir en redes con espacios de aire, lo que hace que estas infecciones estén fuera de nuestro alcance", dijo. "En segundo lugar, y quizás más notable, el gusano PlugX puede residir en dispositivos USB infectados durante un período prolongado sin estar conectado a una estación de trabajo".
Dadas las complicaciones legales involucradas en la eliminación remota del malware de los sistemas, la compañía señaló además que está dejando la decisión en manos de los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales, las agencias de aplicación de la ley (LEA) y las autoridades de ciberseguridad.
"Tras un informe de Sekoia.io, las autoridades judiciales francesas han puesto en marcha una operación de desinfección para desmantelar la botnet controlada por el gusano PlugX. PlugX ha afectado a varios millones de víctimas en todo el mundo", declaró Sekoia. "Una solución de desinfección desarrollada por el equipo TDR de Sekoia.io fue propuesta a través de Europol a los países socios y se está implementando en este momento".
"Estamos satisfechos de la fructífera cooperación con los actores implicados en Francia (sección J3 del Ministerio Público de París, Policía, Gendarmería y ANSSI) y a nivel internacional (Europol y fuerzas policiales de terceros países) para tomar medidas contra actividades cibernéticas maliciosas de larga duración".
