O ator de ameaças vinculado à China, conhecido como Mustang Panda, tem como alvo vários países asiáticos usando uma variante do backdoor PlugX (também conhecido como Korplug), denominado DOPLUGS.
"A peça personalizada do malware PlugX é diferente do tipo geral de malware PlugX que contém um módulo de comando de backdoor completo, sendo que o primeiro é usado apenas para baixar o último", disseram os pesquisadores da Trend Micro, Sunny Lu e Pierre Lee, em um novo relato técnico.
Os alvos do DOPLUGS têm sido principalmente localizados em Taiwan e Vietnã, e em menor grau em Hong Kong, Índia, Japão, Malásia, Mongólia e até mesmo na China.
PlugX é uma ferramenta básica do Mustang Panda, que também é rastreado como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 e TEMP.Hex.
É conhecido por estar ativo pelo menos desde 2012, embora tenha vindo à luz somente em 2017.
O modus operandi do ator de ameaças envolve a realização de campanhas bem-feitas de spear-phishing que visam a entrega de uma variedade de malwares personalizados.
Ele também tem um histórico de implantação de suas próprias variantes personalizadas de PlugX, como RedDelta, Thor, Hodur e DOPLUGS (distribuídos por meio de uma campanha denominada SmugX) desde 2018.
As cadeias de comprometimento exploram um conjunto de táticas distintas, usando mensagens de phishing como canal para entregar um payload inicial que, ao exibir um documento isca ao destinatário, descompacta discretamente um executável legítimo e assinado que está vulnerável ao side-loading de DLL, para carregar uma biblioteca de vínculos dinâmicos (DLL), que por sua vez, descriptografa e executa o PlugX.
O malware PlugX consequentemente recupera o trojan de acesso remoto Poison Ivy (RAT) ou o Cobalt Strike Beacon para estabelecer uma conexão com um servidor controlado pelo Mustang Panda.
Em dezembro de 2023, a Lab52 descobriu uma campanha do Mustang Panda visando entidades políticas, diplomáticas e governamentais de Taiwan com o DOPLUGS, mas com uma diferença notável.
"A DLL maliciosa é escrita na linguagem de programação Nim", disse a Lab52.
"Esta nova variante usa sua própria implementação do algoritmo RC4 para descriptografar o PlugX, diferente das versões anteriores que usam a biblioteca Cryptsp.dll do Windows."
DOPLUGS, documentado pela primeira vez pela Secureworks em setembro de 2022, é um downloader com quatro comandos de backdoor, um dos quais é orquestrado para baixar o tipo geral do malware PlugX.
A Trend Micro disse que também identificou amostras de DOPLUGS integradas com um módulo conhecido como KillSomeOne, um plugin responsável pela distribuição de malware, coleta de informações e roubo de documentos via drives USB.
Esta variante vem equipada com um componente de lançador extra que executa o executável legítimo para realizar o side-loading de DLL, além de suportar funcionalidades para executar comandos e baixar o malware de próxima etapa de um servidor controlado pelo ator.
Vale a pena notar que uma variante personalizada do PlugX contendo o módulo KillSomeOne e projetada para se espalhar via USB foi descoberta já em janeiro de 2020 pela Avira como parte de ataques contra Hong Kong e Vietnã.
"Isso mostra que o Earth Preta vem aprimorando suas ferramentas há algum tempo, adicionando constantemente novas funcionalidades e recursos", disseram os pesquisadores.
"O grupo continua muito ativo, particularmente na Europa e na Ásia."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...