DOPPLUG Backdoor

Mustang Panda, un attore di minacce legato alla Cina, ha utilizzato una variante personalizzata della backdoor PlugX (nota anche come Korplug ), denominata DOPLUGS, per prendere di mira diverse nazioni asiatiche. Questa versione su misura del malware PlugX differisce dalla variante tipica perché manca un modulo di comando backdoor completamente integrato; è invece specificamente progettato per scaricare quest'ultimo modulo. L’obiettivo principale degli attacchi DOPLUGS si è concentrato su obiettivi situati a Taiwan e in Vietnam, con episodi minori a Hong Kong, India, Giappone, Malesia, Mongolia e persino Cina.

Si ritiene che la Mustang Panda sia attiva da più di un decennio

Il Mustang Panda, conosciuto anche con vari alias, come BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 e TEMP.Hex fa molto affidamento sull'uso di PlugX come strumento principale . Questo autore di minacce è attivo almeno dal 2012, anche se le sue attività hanno attirato l’attenzione del pubblico nel 2017.

Il modus operandi della Mustang Panda prevede l'esecuzione di campagne di spear-phishing meticolosamente progettate per fornire una gamma di malware personalizzati. Dal 2018, l'autore della minaccia è noto per aver implementato le proprie versioni personalizzate di PlugX, tra cui RedDelta , Thor, Hodur e DOPLUGS (distribuite attraverso una campagna denominata SmugX).

Le catene di compromesso orchestrate dalla Mustang Panda impiegano una serie di tattiche sofisticate. Questi includono l'utilizzo di messaggi di phishing come meccanismo di consegna per un payload di prima fase. Questo payload, mentre presenta un documento ingannevole al destinatario, decomprime di nascosto un eseguibile legittimo e firmato che è suscettibile al sideloading DLL. Questa tecnica di caricamento laterale delle DLL viene quindi utilizzata per caricare una libreria a collegamento dinamico (DLL), che decrittografa ed esegue il malware PlugX.

Una volta distribuito, il malware PlugX procede a recuperare il Trojan di accesso remoto Poison Ivy (RAT) o il Cobalt Strike Beacon, stabilendo una connessione con un server controllato dal Mustang Panda. Questa intricata sequenza di azioni evidenzia la natura avanzata e persistente delle operazioni informatiche di Mustang Panda.

La backdoor DOPLUGS è una nuova aggiunta all'arsenale di malware di un gruppo criminale informatico

Osservato inizialmente dai ricercatori nel settembre 2022, DOPLUGS funziona come un downloader dotato di quattro distinti comandi backdoor. In particolare, uno di questi comandi è progettato per facilitare il download della versione convenzionale del malware PlugX.

Gli esperti di sicurezza hanno rilevato anche varianti di DOPLUGS che incorporano un modulo chiamato KillSomeOne . Questo plugin ha molteplici scopi, tra cui la distribuzione di malware, la raccolta di informazioni e il furto di documenti tramite unità USB.

Questa particolare variante di DOPLUGS include un componente di avvio aggiuntivo. Questo componente esegue un eseguibile legittimo, utilizzando tecniche di caricamento laterale DLL. Inoltre, supporta funzionalità come l'esecuzione di comandi e il download del malware della fase successiva da un server controllato dall'autore della minaccia.

Già nel gennaio 2020 i ricercatori di infosec hanno scoperto una variante PlugX personalizzata con il modulo KillSomeOne, appositamente progettato per la propagazione tramite unità USB. Il malware è stato distribuito come parte di una serie di attacchi contro Hong Kong e il Vietnam.

Alla fine del 2023, è stata portata alla luce una campagna Mustang Panda rivolta agli enti politici, diplomatici e governativi taiwanesi che utilizzano DOPLUGS. L'operazione di attacco presentava una caratteristica distintiva: la DLL dannosa è stata realizzata utilizzando il linguaggio di programmazione Nim. A differenza dei suoi predecessori, questa nuova variante utilizza un'implementazione unica dell'algoritmo RC4 per decrittografare PlugX, divergendo dall'uso convenzionale della libreria Windows Cryptsp.dll nelle versioni precedenti.