DOPLUGS Backdoor
O Mustang Panda, um ator de ameaça com ligações com a China, empregou uma variante personalizada do backdoor PlugX (também conhecido como Korplug), conhecido como DOPLUGS, para atingir vários países asiáticos. Esta versão personalizada do malware PlugX difere da variante típica por não possuir um módulo de comando backdoor totalmente integrado; em vez disso, ele foi projetado especificamente para baixar o último módulo. O foco principal dos ataques DOPLUGS tem sido em alvos situados em Taiwan e no Vietname, com ocorrências menores em Hong Kong, Índia, Japão, Malásia, Mongólia e até na China.
Acredita-se que o Mustang Panda esteja Ativo há Mais de Uma Década
O Mustang Panda, também conhecido por vários pseudônimos, como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 e TEMP.Hex depende fortemente do uso do PlugX como ferramenta principal . Este ator ameaçador está ativo pelo menos desde 2012, embora as suas atividades tenham recebido a atenção do público em 2017.
O modus operandi do Mustang Panda envolve a execução de campanhas de spear-phishing meticulosamente elaboradas, projetadas para fornecer uma variedade de malwares personalizados. Desde 2018, sabe-se que o ator da ameaça implanta suas próprias versões personalizadas do PlugX, incluindo RedDelta, Thor, Hodur e DOPLUGS (distribuído por meio de uma campanha chamada SmugX).
As cadeias de compromisso orquestradas pelo Mustang Panda empregam uma série de táticas sofisticadas. Isso inclui o uso de mensagens de phishing como mecanismo de entrega para uma carga útil de primeiro estágio. Essa carga útil, ao apresentar um documento falso ao destinatário, descompacta sub-repticiamente um executável legítimo e assinado que é suscetível ao carregamento lateral de DLL. Essa técnica de carregamento lateral de DLL é então empregada para carregar uma biblioteca de vínculo dinâmico (DLL), que descriptografa e executa o malware PlugX.
Uma vez implantado, o malware PlugX recupera o Trojan de acesso remoto (RAT) Poison Ivy ou o Cobalt Strike Beacon, estabelecendo uma conexão com um servidor controlado pelo Mustang Panda. Esta intrincada sequência de ações destaca a natureza avançada e persistente das operações cibernéticas do Mustang Panda.
O DOPLUGS Backdoor é uma Nova Adição ao Arsenal de Malware de um Grupo Cibercriminoso
Observado inicialmente pelos pesquisadores em setembro de 2022, o DOPLUGS funciona como um downloader equipado com quatro comandos backdoor distintos. Notavelmente, um desses comandos foi projetado para facilitar o download da versão convencional do malware PlugX.
Especialistas em segurança também detectaram variações de DOPLUGS que incorporam um módulo chamado KillSomeOne. Este plugin serve a vários propósitos, incluindo distribuição de malware, coleta de informações e roubo de documentos por meio de unidades USB.
Esta variante específica do DOPLUGS inclui um componente inicializador adicional. Este componente executa um executável legítimo, empregando técnicas de carregamento lateral de DLL. Além disso, ele oferece suporte a funcionalidades como execução de comandos e download do malware de próximo estágio de um servidor controlado pelo autor da ameaça.
Uma variante PlugX personalizada com o módulo KillSomeOne, projetado especificamente para propagação através de drives USB, foi descoberta já em janeiro de 2020 por pesquisadores da infosec. O malware foi implantado como parte de uma série de ataques direcionados a Hong Kong e ao Vietnã.
No final de 2023, foi trazida à luz uma campanha do Mustang Panda dirigida a entidades políticas, diplomáticas e governamentais de Taiwan que utilizavam DOPLUGS. A operação de ataque exibiu uma característica distinta: a DLL prejudicial foi criada usando a linguagem de programação Nim. Ao contrário de seus antecessores, esta nova variante emprega uma implementação exclusiva do algoritmo RC4 para descriptografar o PlugX, divergindo do uso convencional da biblioteca Windows Cryptsp.dll nas versões anteriores.
