DOPLUGS后门

与中国有联系的威胁组织 Mustang Panda 使用了 PlugX（也称为Korplug ）后门的定制变体（称为 DOPLUGS）来针对多个亚洲国家。这个定制版本的 PlugX 恶意软件与典型变体的不同之处在于缺乏完全集成的后门命令模块；相反，它是专门为下载后一个模块而设计的。 DOPLUGS 攻击的主要目标是台湾和越南的目标，香港、印度、日本、马来西亚、蒙古甚至中国的目标也较少。

据信野马熊猫已经活跃了十多年

Mustang Panda，也有各种别名，如 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416 和 TEMP.Hex 很大程度上依赖于使用 PlugX 作为核心工具。该威胁行为者至少自 2012 年起就一直活跃，尽管其活动在 2017 年才引起公众关注。

Mustang Panda 的作案手法包括执行精心设计的鱼叉式网络钓鱼活动，旨在传播一系列定制恶意软件。自 2018 年以来，已知威胁行为者部署了自己的定制版本的 PlugX，包括RedDelta 、Thor、 Hodur和 DOPLUGS（通过名为 SmugX 的活动分发）。

野马熊猫精心策划的妥协链采用了一系列复杂的策略。其中包括使用网络钓鱼消息作为第一阶段有效负载的传递机制。该有效负载在向收件人提供诱饵文档的同时，会秘密地解压一个合法的、经过签名的可执行文件，该可执行文件容易受到 DLL 侧面加载的影响。然后，采用这种 DLL 侧面加载技术来加载动态链接库 (DLL)，该动态链接库会解密并执行 PlugX 恶意软件。

一旦部署，PlugX 恶意软件就会继续检索Poison Ivy远程访问木马 (RAT) 或Cobalt Strike Beacon，与 Mustang Panda 控制的服务器建立连接。这一系列错综复杂的行动凸显了野马熊猫网络行动的先进性和持久性。

DOPLUGS 后门是网络犯罪集团恶意软件库中的新成员

研究人员于 2022 年 9 月首次观察到，DOPLUGS 充当一个下载程序，配备了四个不同的后门命令。值得注意的是，其中一个命令旨在促进传统版本的 PlugX 恶意软件的下载。

安全专家还检测到 DOPLUGS 的变体，其中包含一个名为KillSomeOne的模块。该插件有多种用途，包括传播恶意软件、收集信息以及通过 USB 驱动器窃取文档。

DOPLUGS 的这种特殊变体包括一个额外的发射器组件。该组件使用 DLL 旁加载技术执行合法的可执行文件。此外，它还支持命令执行和从威胁行为者控制的服务器下载下一阶段恶意软件等功能。

早在 2020 年 1 月，信息安全研究人员就发现了一种采用 KillSomeOne 模块的定制 PlugX 变体，专门为通过 USB 驱动器传播而设计。该恶意软件是针对香港和越南的一系列攻击的一部分。

2023 年底，利用 DOPLUGS 针对台湾政治、外交和政府实体的 Mustang Panda 活动曝光。该攻击操作显示出一个显着特征——有害的DLL是使用Nim编程语言编写的。与之前的版本不同，这个新变体采用了 RC4 算法的独特实现来解密 PlugX，这与以前版本中 Windows Cryptsp.dll 库的常规使用不同。