دوبلوجس مستتر

استخدمت موستانج باندا، وهي جهة تهديد لها علاقات مع الصين، نسخة مخصصة من الباب الخلفي PlugX (المعروف أيضًا باسم Korplug )، والمشار إليه باسم DOPLUGS، لاستهداف العديد من الدول الآسيوية. يختلف هذا الإصدار المخصص من برنامج PlugX الضار عن الإصدار النموذجي من خلال افتقاره إلى وحدة أوامر مدمجة بالكامل في الباب الخلفي؛ بدلاً من ذلك، تم تصميمه خصيصًا لتنزيل الوحدة الأخيرة. كان التركيز الأساسي لهجمات DOPLUGS على أهداف تقع في تايوان وفيتنام، مع حدوث حوادث أقل في هونغ كونغ والهند واليابان وماليزيا ومنغوليا وحتى الصين.

يُعتقد أن موستانج باندا كانت نشطة لأكثر من عقد من الزمن

موستانج باندا، المعروفة أيضًا بأسماء مستعارة مختلفة، مثل BASIN، وBronze President، وCamaro Dragon، وEarth Preta، وHoneyMyte، وRedDelta، وRed Lich، وStately Taurus، وTA416، وTEMP. تعتمد Hex بشكل كبير على استخدام PlugX كأداة أساسية . كان ممثل التهديد هذا نشطًا منذ عام 2012 على الأقل، على الرغم من أن أنشطته حظيت باهتمام الرأي العام في عام 2017.

تتضمن طريقة عمل Mustang Panda تنفيذ حملات تصيد احتيالي مصممة بدقة لتقديم مجموعة من البرامج الضارة المخصصة. منذ عام 2018، من المعروف أن جهة التهديد تنشر إصداراتها المخصصة من PlugX، بما في ذلك RedDelta و Thor و Hodur و DOPLUGS (الموزعة من خلال حملة تسمى SmugX).

تستخدم سلاسل التسوية التي نظمتها موستانج باندا سلسلة من التكتيكات المتطورة. يتضمن ذلك استخدام رسائل التصيد الاحتيالي كآلية تسليم لحمولة المرحلة الأولى. أثناء تقديم هذه الحمولة مستندًا خادعًا إلى المستلم، تقوم بشكل خفي بتفريغ ملف تنفيذي شرعي وموقّع يكون عرضة للتحميل الجانبي لـ DLL. يتم بعد ذلك استخدام تقنية التحميل الجانبي لملف DLL لتحميل مكتبة الارتباط الديناميكي (DLL)، التي تقوم بفك تشفير برنامج PlugX الضار وتنفيذه.

بمجرد نشر البرنامج الضار PlugX، يستمر في استرداد إما Poison Ivy Remote Access Trojan (RAT) أو Cobalt Strike Beacon، وإنشاء اتصال مع خادم يتحكم فيه Mustang Panda. يسلط هذا التسلسل المعقد من الإجراءات الضوء على الطبيعة المتقدمة والمستمرة للعمليات السيبرانية التي تقوم بها موستانج باندا.

يُعد DOPLUGS Backdoor إضافة جديدة إلى ترسانة البرامج الضارة التابعة لمجموعة من مجرمي الإنترنت

لاحظ الباحثون في البداية أن DOPLUGS يعمل بمثابة أداة تنزيل مجهزة بأربعة أوامر خلفية مختلفة. والجدير بالذكر أن أحد هذه الأوامر مصمم لتسهيل تنزيل الإصدار التقليدي من برنامج PlugX الضار.

اكتشف خبراء الأمن أيضًا أشكالًا مختلفة من DOPLUGS تتضمن وحدة تسمى KillSomeOne . يخدم هذا البرنامج المساعد أغراض متعددة، بما في ذلك توزيع البرامج الضارة، وجمع المعلومات، وسرقة المستندات من خلال محركات أقراص USB.

يتضمن هذا النوع المحدد من DOPLUGS مكونًا إضافيًا للمشغل. ينفذ هذا المكون ملفًا شرعيًا قابلاً للتنفيذ، باستخدام تقنيات التحميل الجانبي لـ DLL. علاوة على ذلك، فهو يدعم وظائف مثل تنفيذ الأوامر وتنزيل البرامج الضارة للمرحلة التالية من خادم يتحكم فيه ممثل التهديد.

تم الكشف عن متغير PlugX مخصص يضم وحدة KillSomeOne، المصممة خصيصًا للنشر عبر محركات أقراص USB، في وقت مبكر من يناير 2020 من قبل باحثي أمن المعلومات. وتم نشر البرمجيات الخبيثة كجزء من سلسلة من الهجمات التي استهدفت هونغ كونغ وفيتنام.

في نهاية عام 2023، تم تسليط الضوء على حملة موستانج باندا التي تستهدف الكيانات السياسية والدبلوماسية والحكومية التايوانية التي تستخدم DOPLUGS. أظهرت عملية الهجوم خاصية مميزة - حيث تم إنشاء ملف DLL الضار باستخدام لغة برمجة Nim. على عكس الإصدارات السابقة، يستخدم هذا الإصدار الجديد تطبيقًا فريدًا لخوارزمية RC4 لفك تشفير PlugX، وهو ما يختلف عن الاستخدام التقليدي لمكتبة Windows Cryptsp.dll في الإصدارات السابقة.