Mustang Panda apunta a Asia con la variante avanzada de PlugX DOPLUGS

El actor de amenazas vinculado a China conocido como Mustang Panda se ha dirigido a varios países asiáticos utilizando una variante de la puerta trasera PlugX (también conocida como Korplug) denominada DOPLUGS.

"La pieza de malware PlugX personalizada es diferente al tipo general de malware PlugX que contiene un módulo de comando de puerta trasera completo, y que el primero solo se usa para descargar el segundo", dijeron los investigadores de Trend Micro Sunny Lu y Pierre Lee en un nuevo artículo técnico.

Los objetivos de los DOPLUGS se han localizado principalmente en Taiwán y Vietnam, y en menor medida en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.

PlugX es una herramienta básica de Mustang Panda, que también se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP. Maleficio. Se sabe que está activo desde al menos 2012, aunque salió a la luz por primera vez en 2017.

El oficio del actor de amenazas consiste en llevar a cabo campañas de spear-phishing bien forjadas que están diseñadas para implementar malware personalizado. También tiene un historial de implementación de sus propias variantes personalizadas de PlugX como RedDelta, Thor, Hodur y DOPLUGS (distribuidas a través de una campaña llamada SmugX) desde 2018.

Las cadenas de compromiso aprovechan un conjunto de tácticas distintas, utilizando mensajes de phishing como conducto para entregar una carga útil de primera etapa que, mientras muestra un documento señuelo al destinatario, desempaqueta de forma encubierta un ejecutable legítimo y firmado que es vulnerable a la carga lateral de DLL para cargar lateralmente una biblioteca de vínculos dinámicos (DLL), que, a su vez, descifra y ejecuta PlugX.

Posteriormente, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.

En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.

"La DLL maliciosa está escrita en el lenguaje de programación Nim", dijo Lab52. "Esta nueva variante utiliza su propia implementación del algoritmo RC4 para descifrar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Cryptsp.dll de Windows".

DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales está orquestado para descargar el tipo general del malware PlugX.

Trend Micro dijo que también identificó muestras de DOPLUGS integradas con un módulo conocido como KillSomeOne, un complemento que es responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.

Esta variante viene equipada con un componente de inicio adicional que ejecuta el ejecutable legítimo para realizar la carga lateral de DLL, además de admitir la funcionalidad para ejecutar comandos y descargar el malware de la siguiente etapa desde un servidor controlado por actores.

Vale la pena señalar que una variante personalizada de PlugX, incluido el módulo KillSomeOne diseñado para propagarse a través de USB, fue descubierta ya en enero de 2020 por Avira como parte de los ataques dirigidos contra Hong Kong y Vietnam.

"Esto demuestra que Earth Preta ha estado refinando sus herramientas desde hace algún tiempo, agregando constantemente nuevas funcionalidades y características", dijeron los investigadores. "El grupo sigue siendo muy activo, sobre todo en Europa y Asia".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta