O Departamento de Justiça dos EUA anunciou hoje que o FBI eliminou o malware chinês PlugX de mais de 4.200 computadores em redes por todo o território dos Estados Unidos.
O malware, controlado pelo grupo chinês de espionagem cibernética Mustang Panda (também conhecido como Twill Typhoon), infectou milhares de sistemas utilizando uma variante do PlugX com um componente que permite sua disseminação através de drives USB.
De acordo com documentos judiciais, a lista de vítimas visadas por esse malware inclui "companhias europeias de navegação em 2024, vários Governos Europeus de 2021 a 2023, grupos dissidentes chineses ao redor do mundo, e governos por toda a região do Indo-Pacífico (por exemplo, Taiwan, Hong Kong, Japão, Coreia do Sul, Mongólia, Índia, Myanmar, Indonésia, Filipinas, Tailândia, Vietnã e Paquistão)."
"Uma vez infectado o computador da vítima, o malware permanece na máquina (mantém a persistência), em parte, criando chaves de registro que automaticamente executam a aplicação PlugX quando o computador é iniciado," diz a declaração sob juramento.
Os proprietários dos computadores infectados pelo malware PlugX normalmente não têm ciência da infecção.
Esta ação autorizada pelo tribunal faz parte de uma operação global de desmantelamento liderada pela polícia francesa e pela empresa de cibersegurança Sekoia.
A operação começou em julho de 2024, quando a polícia francesa e a Europol removeram o malware trojan de acesso remoto de dispositivos infectados na França.
"Em agosto de 2024, o Departamento de Justiça e o FBI obtiveram o primeiro de nove mandados no Distrito Leste da Pensilvânia autorizando a eliminação do PlugX de computadores localizados nos EUA," disse o Departamento de Justiça hoje.
O último desses mandados expirou em 3 de janeiro de 2025, concluindo assim as partes da operação nos EUA.
No total, esta operação autorizada pelo tribunal eliminou o malware PlugX de aproximadamente 4.258 computadores e redes baseados nos EUA.
O comando enviado aos computadores infectados pelo FBI instruiu o malware PlugX a:
- Deletar os arquivos criados pelo malware PlugX no computador da vítima,
- Deletar as chaves de registro do PlugX usadas para executar automaticamente a aplicação PlugX quando o computador da vítima é iniciado,
- Criar um arquivo de script temporário para deletar a aplicação PlugX após ela ser parada,
- Parar a aplicação PlugX, e
- Executar o arquivo temporário para deletar a aplicação PlugX, deletar o diretório criado no computador da vítima pelo malware PlugX para armazenar os arquivos do PlugX, e deletar o arquivo temporário do computador da vítima.
O FBI agora está notificando os proprietários dos computadores baseados nos EUA que foram limpos da infecção PlugX através de seus provedores de serviços de internet e diz que a ação não coletou informações dos dispositivos desinfectados de qualquer maneira.
A empresa de cibersegurança Sekoia descobriu anteriormente uma botnet de dispositivos infectados com a mesma variante do PlugX, assumindo o controle do seu servidor de comando e controle (C2) em 45.142.166[.]112 em abril de 2024.
A Sekoia afirmou que, durante seis meses, o servidor C2 da botnet recebeu até 100.000 pings diários de hosts infectados e teve 2.500.000 conexões únicas de 170 países.
O PlugX tem sido usado em ataques desde pelo menos 2008, principalmente em operações de espionagem cibernética e acesso remoto por grupos ligados ao Ministério de Segurança do Estado da China.
Vários grupos de ameaças utilizaram-no para visar organizações governamentais, de defesa, tecnológicas e políticas, principalmente na Ásia e, posteriormente, expandindo para o resto do mundo.
Construtores do PlugX também foram detectados online, e alguns pesquisadores de segurança acreditam que o código-fonte do malware vazou por volta de 2015.
Isso, combinado com as múltiplas atualizações da ferramenta, torna muito difícil atribuir o desenvolvimento do malware e o uso em ataques a um ator ou agenda de ameaça específicos.
O malware PlugX possui capacidades extensas, incluindo coletar informações do sistema, fazer upload e download de arquivos, registrar pressionamentos de tecla e executar comandos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...