DOPLUGS Achterdeur

De Mustang Panda, een bedreigingsacteur met banden met China, heeft een aangepaste variant van de PlugX (ook bekend als Korplug ) achterdeur, ook wel DOPLUGS genoemd, gebruikt om zich op verschillende Aziatische landen te richten. Deze op maat gemaakte versie van de PlugX-malware verschilt van de typische variant doordat het een volledig geïntegreerde backdoor-opdrachtmodule mist; in plaats daarvan is het specifiek ontworpen voor het downloaden van de laatste module. De primaire focus van DOPLUGS-aanvallen lag op doelen in Taiwan en Vietnam, met minder voorvallen in Hong Kong, India, Japan, Maleisië, Mongolië en zelfs China.

De Mustang Panda is vermoedelijk al meer dan tien jaar actief

De Mustang Panda, ook bekend onder verschillende aliassen, zoals BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 en TEMP.Hex leunt sterk op het gebruik van PlugX als kerntool . Deze dreigingsactor is in ieder geval sinds 2012 actief, hoewel zijn activiteiten in 2017 publieke aandacht kregen.

De modus operandi van de Mustang Panda omvat het uitvoeren van zorgvuldig ontworpen spearphishing-campagnes die zijn ontworpen om een reeks aangepaste malware af te leveren. Sinds 2018 is het bekend dat de bedreigingsacteur zijn eigen aangepaste versies van PlugX inzet, waaronder RedDelta , Thor, Hodur en DOPLUGS (gedistribueerd via een campagne genaamd SmugX).

De compromisketens die door de Mustang Panda worden georkestreerd, maken gebruik van een reeks geavanceerde tactieken. Deze omvatten het gebruik van phishing-berichten als bezorgingsmechanisme voor een payload in de eerste fase. Deze payload presenteert een lokdocument aan de ontvanger, maar pakt heimelijk een legitiem, ondertekend uitvoerbaar bestand uit dat vatbaar is voor side-loading van DLL. Deze DLL side-loading-techniek wordt vervolgens gebruikt om een dynamic-link bibliotheek (DLL) te laden, die de PlugX-malware decodeert en uitvoert.

Eenmaal ingezet, gaat de PlugX-malware verder met het ophalen van de Poison Ivy Remote Access Trojan (RAT) of de Cobalt Strike Beacon, waardoor een verbinding tot stand wordt gebracht met een server die wordt beheerd door de Mustang Panda. Deze ingewikkelde reeks acties benadrukt het geavanceerde en aanhoudende karakter van de cyberoperaties van Mustang Panda.

De DOPLUGS-achterdeur is een nieuwe toevoeging aan het malware-arsenaal van een cybercriminele groep

DOPLUGS werd voor het eerst waargenomen door onderzoekers in september 2022 en functioneert als een downloader uitgerust met vier verschillende achterdeuropdrachten. Eén van deze opdrachten is met name ontworpen om het downloaden van de conventionele versie van de PlugX-malware te vergemakkelijken.

Beveiligingsexperts hebben ook varianten van DOPLUGS ontdekt die een module bevatten met de naam KillSomeOne . Deze plug-in dient meerdere doeleinden, waaronder de verspreiding van malware, het verzamelen van informatie en diefstal van documenten via USB-drives.

Deze specifieke variant van DOPLUGS bevat een extra lanceercomponent. Dit onderdeel voert een legitiem uitvoerbaar bestand uit, waarbij gebruik wordt gemaakt van side-loading-technieken van DLL. Bovendien ondersteunt het functionaliteiten zoals het uitvoeren van opdrachten en het downloaden van de volgende fase van malware van een server die wordt beheerd door de bedreigingsacteur.

Een op maat gemaakte PlugX-variant met de KillSomeOne-module, speciaal ontworpen voor verspreiding via USB-drives, werd al in januari 2020 ontdekt door infosec-onderzoekers. De malware werd ingezet als onderdeel van een reeks aanvallen op Hong Kong en Vietnam.

Eind 2023 werd een Mustang Panda-campagne aan het licht gebracht, gericht op Taiwanese politieke, diplomatieke en overheidsinstanties die DOPLUGS gebruiken. De aanvalsoperatie vertoonde een onderscheidend kenmerk: de schadelijke DLL was gemaakt met behulp van de programmeertaal Nim. In tegenstelling tot zijn voorgangers maakt deze nieuwe variant gebruik van een unieke implementatie van het RC4-algoritme voor het decoderen van PlugX, wat afwijkt van het conventionele gebruik van de Windows Cryptsp.dll-bibliotheek in eerdere versies.