De aan China gelinkte bedreigingsacteur, bekend als Mustang Panda, heeft zich op verschillende Aziatische landen gericht met behulp van een variant van de PlugX (ook bekend als Korplug) achterdeur genaamd DOPLUGS.
“Het stukje aangepaste PlugX-malware verschilt van het algemene type PlugX-malware dat een voltooide backdoor-opdrachtmodule bevat, en dat de eerste alleen wordt gebruikt voor het downloaden van de laatste”, aldus Trend Micro-onderzoekers Sunny Lu en Pierre Lee in een nieuw artikel. technisch schrijven.
De doelwitten van DOPLUGS bevonden zich voornamelijk in Taiwan en Vietnam, en in mindere mate in Hong Kong, India, Japan, Maleisië, Mongolië en zelfs China.
PlugX is een basistool van Mustang Panda, die ook wordt gevolgd als BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 en TEMP.Hex. Het is bekend dat het actief is sinds minstens 2012, hoewel het voor het eerst aan het licht kwam in 2017.
Het vakmanschap van de bedreigingsacteur bestaat uit het uitvoeren van goedverzonnen spearphishing-campagnes die zijn ontworpen om op maat gemaakte malware in te zetten. Het heeft ook een trackrecord in het inzetten van zijn eigen aangepaste PlugX-varianten zoals RedDelta, Thor, Hodur en DOPLUGS (gedistribueerd via een campagne genaamd SmugX) sinds 2018.
Compromisketens maken gebruik van een reeks verschillende tactieken, waarbij phishing-berichten worden gebruikt als kanaal om een lading in de eerste fase af te leveren die, terwijl een lokdocument aan de ontvanger wordt weergegeven, heimelijk een legitiem, ondertekend uitvoerbaar bestand uitpakt dat kwetsbaar is voor side-loading van DLL om side-load een dynamic-link bibliotheek (DLL), die op zijn beurt PlugX decodeert en uitvoert.
De PlugX-malware haalt vervolgens de Poison Ivy remote access trojan (RAT) of Cobalt Strike Beacon op om verbinding te maken met een door Mustang Panda bestuurde server.
In december 2023 ontdekte Lab52 een Mustang Panda-campagne gericht op Taiwanese politieke, diplomatieke en overheidsinstanties met DOPLUGS, maar met een opmerkelijk verschil.
“De kwaadaardige DLL is geschreven in de programmeertaal Nim”, aldus Lab52. “Deze nieuwe variant gebruikt zijn eigen implementatie van het RC4-algoritme om PlugX te decoderen, in tegenstelling tot eerdere versies die de Windows Cryptsp.dll-bibliotheek gebruiken.”
DOPLUGS, voor het eerst gedocumenteerd door Secureworks in september 2022, is een downloader met vier achterdeuropdrachten, waarvan er één is georkestreerd om het algemene type PlugX-malware te downloaden.
Trend Micro zei dat het ook DOPLUGS-monsters heeft geïdentificeerd die zijn geïntegreerd met een module die bekend staat als KillSomeOne, een plug-in die verantwoordelijk is voor de distributie van malware, het verzamelen van informatie en documentdiefstal via USB-drives.
Deze variant is uitgerust met een extra opstartcomponent die het legitieme uitvoerbare bestand uitvoert om DLL-sideloading uit te voeren, naast de ondersteuning van functionaliteit om opdrachten uit te voeren en de volgende fase-malware te downloaden van een door actoren bestuurde server.
Het is vermeldenswaard dat een aangepaste PlugX-variant, inclusief de KillSomeOne-module ontworpen voor verspreiding via USB, al in januari 2020 door Avira werd ontdekt als onderdeel van aanvallen gericht tegen Hong Kong en Vietnam.
“Dit toont aan dat Earth Preta zijn tools al een tijdje aan het verfijnen is en voortdurend nieuwe functionaliteiten en functies toevoegt”, aldus de onderzoekers. “De groep blijft zeer actief, vooral in Europa en Azië.”
