De Franse gerechtelijke autoriteiten zijn, in samenwerking met Europol, een zogenaamde ‘desinfectieoperatie’ gestart om gecompromitteerde hosts te ontdoen van een bekende malware genaamd PlugX.
Het Openbaar Ministerie van Parijs, Parquet de Paris, meldde dat het initiatief op 18 juli van start ging en dat het naar verwachting “enkele maanden” zal duren.
Verder meldde het bedrijf dat ongeveer honderd slachtoffers in Frankrijk, Malta, Portugal, Kroatië, Slowakije en Oostenrijk al hebben geprofiteerd van de opruimwerkzaamheden.
De ontwikkeling komt bijna drie maanden nadat het Franse cybersecuritybedrijf Sekoia onthulde dat het in september 2023 een command-and-control (C2) server had laten zinken die was gekoppeld aan de PlugX-trojan door $ 7 te besteden aan het verkrijgen van het IP-adres. Het merkte ook op dat bijna 100.000 unieke openbare IP-adressen dagelijks PlugX-verzoeken naar het in beslag genomen domein hebben gestuurd.
PlugX (ook bekend als Korplug) is een trojan voor externe toegang (RAT) die al sinds 2008 veel wordt gebruikt door cybercriminelen die zich richten op de Chinese markt. Daarnaast wordt het ook gebruikt door andere malwarefamilies, zoals Gh0st RAT en ShadowPad.
De malware wordt doorgaans op gecompromitteerde hosts gelanceerd met behulp van DLL-sideloadingtechnieken. Hierdoor kunnen kwaadwillenden willekeurige opdrachten uitvoeren, bestanden uploaden/downloaden, bestanden inventariseren en gevoelige gegevens verzamelen.
“Deze backdoor, oorspronkelijk ontwikkeld door Zhao Jibin (ook bekend als WHG), evolueerde door de tijd heen in verschillende varianten,” zei Sekoia eerder deze april. “De PlugX-builder werd gedeeld tussen verschillende intrusionsets, waarvan de meeste werden toegeschreven aan frontbedrijven die verbonden waren aan het Chinese ministerie van Staatsveiligheid.”

In de loop der jaren is er ook een wormbaar onderdeel aan toegevoegd, waardoor de malware zich via geïnfecteerde USB-sticks kan verspreiden. Zo worden netwerken zonder netwerkverbinding effectief omzeild.
Sekoia, dat een oplossing heeft bedacht om PlugX te verwijderen, zei dat varianten van de malware met het USB-distributiemechanisme een zelfverwijderingsopdracht (“0x1005”) bevatten om zichzelf van de gecompromitteerde werkstations te verwijderen. Er is echter momenteel geen manier om de malware van de USB-apparaten zelf te verwijderen.
“Ten eerste heeft de worm de mogelijkheid om te bestaan op air-gapped netwerken, waardoor deze infecties buiten ons bereik liggen”, aldus het rapport. “Ten tweede, en misschien nog wel opmerkelijker, kan de PlugX-worm langdurig op geïnfecteerde USB-apparaten verblijven zonder dat deze met een werkstation is verbonden.”
Gezien de juridische complicaties die gepaard gaan met het op afstand wissen van de malware van de systemen, gaf het bedrijf verder aan dat het de beslissing overlaat aan nationale Computer Emergency Response Teams (CERT’s), wetshandhavingsinstanties (LEA’s) en cybersecurityautoriteiten.
“Na een rapport van Sekoia.io is er door de Franse gerechtelijke autoriteiten een ontsmettingsoperatie gestart om het botnet te ontmantelen dat wordt aangestuurd door de PlugX-worm. PlugX heeft wereldwijd miljoenen slachtoffers gemaakt,” vertelde Sekoia aan The Hacker News. “Een ontsmettingsoplossing die is ontwikkeld door het Sekoia.io TDR-team is via Europol voorgesteld aan partnerlanden en wordt op dit moment ingezet.”
“Wij zijn verheugd over de vruchtbare samenwerking met de betrokken actoren in Frankrijk (afdeling J3 van het Openbaar Ministerie van Parijs, politie, gendarmerie en ANSSI) en internationaal (Europol en politiediensten van derde landen) om actie te ondernemen tegen langdurige kwaadaardige cyberactiviteiten.”