DOPLUGS Porta del darrere
El Mustang Panda, un actor d'amenaces vinculat a la Xina, ha emprat una variant personalitzada de la porta del darrere PlugX (també coneguda com Korplug ), anomenada DOPLUGS, per apuntar-se a diverses nacions asiàtiques. Aquesta versió personalitzada del programari maliciós PlugX es diferencia de la variant típica perquè no té un mòdul d'ordres de porta posterior totalment integrat; en canvi, està dissenyat específicament per descarregar aquest darrer mòdul. L'enfocament principal dels atacs DOPLUGS ha estat en objectius situats a Taiwan i Vietnam, amb menys casos a Hong Kong, Índia, Japó, Malàisia, Mongòlia i fins i tot Xina.
Es creu que Mustang Panda ha estat actiu durant més d'una dècada
El Mustang Panda, també conegut per diversos àlies, com ara BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 i TEMP.Hex depèn en gran mesura de l'ús de PlugX com a eina bàsica. . Aquest actor d'amenaça ha estat actiu almenys des del 2012, tot i que les seves activitats van guanyar l'atenció pública el 2017.
El modus operandi del Mustang Panda implica l'execució de campanyes de pesca de pesca minuciosament dissenyades per oferir una gamma de programari maliciós personalitzat. Des del 2018, se sap que l'actor d'amenaces desplega les seves pròpies versions personalitzades de PlugX, com ara RedDelta , Thor, Hodur i DOPLUGS (distribuïts a través d'una campanya anomenada SmugX).
Les cadenes de compromís orquestratades pel Mustang Panda utilitzen una sèrie de tàctiques sofisticades. Aquests inclouen l'ús de missatges de pesca com a mecanisme de lliurament d'una càrrega útil de primera etapa. Aquesta càrrega útil, mentre presenta un document d'engany al destinatari, desempaqueta subrepticiament un executable legítim i signat que és susceptible a la càrrega lateral de la DLL. A continuació, aquesta tècnica de càrrega lateral de DLL s'utilitza per carregar una biblioteca d'enllaços dinàmics (DLL), que desxifra i executa el programari maliciós PlugX.
Un cop desplegat, el programari maliciós PlugX procedeix a recuperar el troià Poison Ivy Remote Access (RAT) o el Cobalt Strike Beacon, establint una connexió amb un servidor controlat pel Mustang Panda. Aquesta intricada seqüència d'accions posa de manifest la naturalesa avançada i persistent de les operacions cibernètiques de Mustang Panda.
El Backdoor DOPLUGS és una nova addició a l'arsenal de programari maliciós d'un grup cibercriminal
Inicialment observat pels investigadors el setembre de 2022, DOPLUGS funciona com un descarregador equipat amb quatre ordres diferents de la porta posterior. Cal destacar que una d'aquestes ordres està dissenyada per facilitar la descàrrega de la versió convencional del programari maliciós PlugX.
Els experts en seguretat també han detectat variacions de DOPLUGS que incorporen un mòdul anomenat KillSomeOne . Aquest connector té múltiples finalitats, com ara la distribució de programari maliciós, la recollida d'informació i el robatori de documents mitjançant unitats USB.
Aquesta variant particular de DOPLUGS inclou un component de llançador addicional. Aquest component executa un executable legítim, utilitzant tècniques de càrrega lateral de DLL. A més, admet funcionalitats com l'execució d'ordres i la descàrrega del programari maliciós de la següent etapa des d'un servidor controlat per l'actor de l'amenaça.
Una variant de PlugX feta a mida que inclou el mòdul KillSomeOne, dissenyat específicament per a la propagació a través de unitats USB, va ser descoberta al gener de 2020 pels investigadors d'infosec. El programari maliciós es va desplegar com a part d'una sèrie d'atacs dirigits a Hong Kong i Vietnam.
A finals de 2023, va sortir a la llum una campanya del Mustang Panda dirigida a les entitats polítiques, diplomàtiques i governamentals taiwaneses que utilitzaven DOPLUGS. L'operació d'atac mostrava una característica distintiva: la DLL nociva es va crear amb el llenguatge de programació Nim. A diferència dels seus predecessors, aquesta nova variant empra una implementació única de l'algorisme RC4 per desxifrar PlugX, divergent de l'ús convencional de la biblioteca Cryptsp.dll de Windows en versions anteriors.
