Porte dérobée DOPLUGS

Le Mustang Panda, un acteur menaçant ayant des liens avec la Chine, a utilisé une variante personnalisée de la porte dérobée PlugX (également connue sous le nom de Korplug ), appelée DOPLUGS, pour cibler plusieurs pays asiatiques. Cette version sur mesure du malware PlugX diffère de la variante classique par l'absence d'un module de commande de porte dérobée entièrement intégré ; au lieu de cela, il est spécifiquement conçu pour télécharger ce dernier module. Les attaques DOPLUGS se sont principalement concentrées sur des cibles situées à Taiwan et au Vietnam, avec des occurrences moindres à Hong Kong, en Inde, au Japon, en Malaisie, en Mongolie et même en Chine.

On pense que Mustang Panda est actif depuis plus d’une décennie

Le Mustang Panda, également connu sous divers alias, tels que BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 et TEMP.Hex s'appuie fortement sur l'utilisation de PlugX comme outil de base. . Cet acteur menaçant est actif depuis au moins 2012, même si ses activités ont attiré l’attention du public en 2017.

Le mode opératoire du Mustang Panda consiste à exécuter des campagnes de spear phishing méticuleusement conçues pour diffuser une gamme de logiciels malveillants personnalisés. Depuis 2018, l'acteur malveillant est connu pour déployer ses propres versions personnalisées de PlugX, notamment RedDelta , Thor, Hodur et DOPLUGS (distribuées via une campagne nommée SmugX).

Les chaînes de compromis orchestrées par la Mustang Panda emploient une série de tactiques sophistiquées. Il s'agit notamment de l'utilisation de messages de phishing comme mécanisme de transmission d'une charge utile de première étape. Cette charge utile, tout en présentant un document leurre au destinataire, décompresse subrepticement un exécutable légitime et signé qui est sensible au chargement latéral de DLL. Cette technique de chargement latéral de DLL est ensuite utilisée pour charger une bibliothèque de liens dynamiques (DLL), qui décrypte et exécute le malware PlugX.

Une fois déployé, le malware PlugX récupère soit le cheval de Troie d'accès à distance Poison Ivy (RAT), soit le Cobalt Strike Beacon, établissant une connexion avec un serveur contrôlé par Mustang Panda. Cette séquence complexe d'actions met en évidence la nature avancée et persistante des cyber-opérations de Mustang Panda.

La porte dérobée DOPLUGS est un nouvel ajout à l'arsenal de logiciels malveillants d'un groupe cybercriminel

Observé initialement par des chercheurs en septembre 2022, DOPLUGS fonctionne comme un téléchargeur équipé de quatre commandes de porte dérobée distinctes. Notamment, l'une de ces commandes est conçue pour faciliter le téléchargement de la version conventionnelle du malware PlugX.

Les experts en sécurité ont également détecté des variantes de DOPLUGS qui intègrent un module appelé KillSomeOne . Ce plugin sert à plusieurs fins, notamment la distribution de logiciels malveillants, la collecte d'informations et le vol de documents via des clés USB.

Cette variante particulière de DOPLUGS comprend un composant lanceur supplémentaire. Ce composant exécute un exécutable légitime, en utilisant des techniques de chargement latéral de DLL. En outre, il prend en charge des fonctionnalités telles que l’exécution de commandes et le téléchargement du logiciel malveillant de niveau supérieur à partir d’un serveur contrôlé par l’acteur malveillant.

Une variante PlugX sur mesure comprenant le module KillSomeOne, spécialement conçu pour la propagation via des clés USB, a été découverte dès janvier 2020 par des chercheurs en sécurité informatique. Le malware a été déployé dans le cadre d’une série d’attaques ciblant Hong Kong et le Vietnam.

Fin 2023, une campagne Mustang Panda destinée aux entités politiques, diplomatiques et gouvernementales taïwanaises utilisant DOPLUGS a été mise en lumière. L'opération d'attaque présentait une caractéristique distinctive : la DLL nuisible a été conçue à l'aide du langage de programmation Nim. Contrairement à ses prédécesseurs, cette nouvelle variante utilise une implémentation unique de l'algorithme RC4 pour décrypter PlugX, s'écartant de l'utilisation conventionnelle de la bibliothèque Windows Cryptsp.dll dans les versions précédentes.