Het Amerikaanse ministerie van Justitie (DoJ) maakte dinsdag bekend dat een door de rechtbank goedgekeurde operatie het Federal Bureau of Investigation (FBI) in staat stelde PlugX-malware van meer dan 4.250 geïnfecteerde computers te verwijderen als onderdeel van een “meer maanden durende wetshandhavingsoperatie”.
PlugX, ook bekend als Korplug, is een trojan voor externe toegang (RAT) die veel wordt gebruikt door bedreigingsactoren die verband houden met de Volksrepubliek China (VRC), waardoor informatiediefstal en afstandsbediening van gecompromitteerde apparaten mogelijk is.
In een door de FBI ingediende beëdigde verklaring wordt opgemerkt dat de geïdentificeerde PlugX-variant is gekoppeld aan een door de staat gesponsorde hackgroep genaamd Mustang Panda, ook wel BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately genoemd. Stier, TA416 en Twill Typhoon.
“Sinds minstens 2014 infiltreerden Mustang Panda-hackers vervolgens duizenden computersystemen in campagnes die zich richtten op Amerikaanse slachtoffers, maar ook op Europese en Aziatische overheden en bedrijven, en Chinese dissidentengroepen”, aldus het DoJ.
Enkele van de andere doelwitten van de campagnes van de dreigingsactor zijn Taiwan, Hong Kong, Japan, Zuid-Korea, Mongolië, India, Myanmar, Indonesië, de Filippijnen, Thailand, Vietnam en Pakistan.
De verstoring maakt deel uit van een grotere ‘desinfectie’-inspanning die eind juli 2024 begon om gecompromitteerde systemen te ontdoen van de PlugX-malware. Details van de activiteit werden eerder gedeeld door het Openbaar Ministerie van Parijs en cyberbeveiligingsbedrijf Sekoia.
Zoals eerder beschreven door Sekoia, is het bekend dat deze specifieke variant van PlugX zich via aangesloten USB-apparaten naar andere systemen verspreidt. Eenmaal geïnstalleerd, wordt de malware naar een door de aanvaller bestuurde server (“45.142.166(.)112”) gestuurd om te wachten op verdere opdrachten om gegevens van de host te verzamelen.
Eind april 2024 onthulde het bedrijf ook dat het slechts $ 7 had uitgegeven om de server die toegankelijk was op het betreffende IP-adres te laten zinken, waardoor de deur werd geopend om een zelfverwijderingsopdracht uit te voeren om de malware van de geïnfecteerde machines te wissen.
De opdracht voerde de onderstaande stappen uit:
- Verwijder de bestanden die zijn gemaakt door de PlugX-malware op de computer van het slachtoffer
- Verwijder de PlugX-registersleutels die worden gebruikt om de PlugX-toepassing automatisch uit te voeren wanneer de slachtoffercomputer wordt gestart
- Maak een tijdelijk scriptbestand om de PlugX-applicatie te verwijderen nadat deze is gestopt
- Stop de PlugX-applicatie
- Voer het tijdelijke bestand uit om de PlugX-applicatie te verwijderen, verwijder de map die door de PlugX-malware op de slachtoffercomputer is gemaakt om de PlugX-bestanden op te slaan, en verwijder het tijdelijke bestand van de slachtoffercomputer
De FBI zei dat het zelfverwijderingscommando geen invloed heeft op legitieme functies of bestanden op de beoogde apparaten in de VS, en dat er ook geen andere gegevens van worden verzonden.
Vorige maand zei Sekoia dat maar liefst 59.475 desinfectieladingen gericht op 5.539 IP-adressen waren uitgegeven als onderdeel van een juridisch raamwerk dat was opgezet om het PlugX-desinfectieproces voor 10 landen uit te voeren.
“Deze grootschalige hack en langdurige infectie van duizenden Windows-computers, waaronder veel homecomputers in de Verenigde Staten, demonstreert de roekeloosheid en agressiviteit van door de staat gesponsorde hackers van de VRC”, aldus assistent-procureur-generaal Matthew G. Olsen van N. van het ministerie van Justitie
