El actor de amenazas vinculado a China conocido como Mustang Panda ha dirigido varios países asiáticos utilizando una variante de backdoor PlugX (también conocida como Korplug) llamada DOPLUGS.
“La pieza de malware personalizado PlugX es diferente al tipo general de malware PlugX que contiene un módulo de comando de backdoor completo, y que el primero solo se utiliza para descargar el último”, dijeron los investigadores de Trend Micro Sunny Lu y Pierre Lee en un nuevo análisis técnico.
Los objetivos de DOPLUGS se encuentran principalmente en Taiwán y Vietnam, y en menor medida en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.
PlugX es una herramienta básica de Mustang Panda, que también se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP.Hex. Se sabe que está activo desde al menos 2012, aunque se dio a conocer por primera vez en 2017.
La artesanía de la amenaza implica llevar a cabo campañas de spear-phishing bien diseñadas que están diseñadas para entregar una variedad de malware personalizado. También tiene un historial de implementar sus propias variantes personalizadas de PlugX, como RedDelta, Thor, Hodur y DOPLUGS (distribuido a través de una campaña llamada SmugX) desde 2018.
Las cadenas de compromiso aprovechan un conjunto de tácticas distintas, utilizando mensajes de phishing como conducto para entregar una carga útil de primera etapa que, mientras muestra un documento señuelo al destinatario, desempaqueta de manera encubierta un ejecutable legítimo y firmado que es vulnerable al side-loading de DLL para cargar una biblioteca de vínculos dinámicos (DLL), que, a su vez, desencripta y ejecuta PlugX.
El malware PlugX posteriormente recupera el troyano de acceso remoto Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.
En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.
“La DLL maliciosa está escrita en el lenguaje de programación Nim”, dijo Lab52. “Esta nueva variante utiliza su propia implementación del algoritmo RC4 para desencriptar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Windows Cryptsp.dll”.
DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales está orquestado para descargar el tipo general de malware PlugX.
Trend Micro dijo que también identificó muestras de DOPLUGS integradas con un módulo conocido como KillSomeOne, un complemento que es responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.
Esta variante viene equipada con un componente de lanzamiento adicional que ejecuta el ejecutable legítimo para realizar la carga lateral de DLL, además de admitir la funcionalidad para ejecutar comandos y descargar el malware de próxima etapa desde un servidor controlado por el actor.
Cabe destacar que una variante personalizada de PlugX que contiene el módulo KillSomeOne y está diseñada para propagarse a través de USB fue descubierta ya en enero de 2020 por Avira como parte de ataques dirigidos contra Hong Kong y Vietnam.
“Esto muestra que Earth Preta ha estado refinando sus herramientas durante algún tiempo, agregando constantemente nuevas funcionalidades y características”, dijeron los investigadores. “El grupo sigue siendo muy activo, especialmente en Europa y Asia”.
