DOPLUGS後門

與中國有聯繫的威脅組織 Mustang Panda 使用了 PlugX（也稱為Korplug ）後門的客製化變體（稱為 DOPLUGS）來針對多個亞洲國家。這個客製化版本的 PlugX 惡意軟體與典型變體的不同之處在於缺乏完全整合的後門命令模組；相反，它是專門為下載後一個模組而設計的。 DOPLUGS 攻擊的主要目標是台灣和越南的目標，香港、印度、日本、馬來西亞、蒙古甚至中國的目標也較少。

據信野馬熊貓已經活躍了十多年

Mustang Panda，也有各種別名，如 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416 和 TEMP.Hex 很大程度上依賴於使用 PlugX 作為核心工具。該威脅行為者至少自 2012 年起就一直活躍，儘管其活動在 2017 年才引起公眾關注。

Mustang Panda 的作案手法包括執行精心設計的魚叉式網路釣魚活動，旨在傳播一系列客製化惡意軟體。自 2018 年以來，已知威脅行為者部署了自己的定製版本的 PlugX，包括RedDelta 、Thor、 Hodur和 DOPLUGS（透過名為 SmugX 的活動分發）。

野馬熊貓精心策劃的妥協鏈採用了一系列複雜的策略。其中包括使用網路釣魚訊息作為第一階段有效負載的傳遞機制。該有效負載在向收件人提供誘餌文件的同時，會秘密地解壓縮一個合法的、經過簽署的可執行文件，該可執行文件容易受到 DLL 側面加載的影響。然後，採用這種 DLL 側邊載入技術來載入動態連結程式庫 (DLL)，該動態連結程式庫會解密並執行 PlugX 惡意軟體。

一旦部署，PlugX 惡意軟體就會繼續檢索Poison Ivy遠端存取木馬 (RAT) 或Cobalt Strike Beacon，與 Mustang Panda 控制的伺服器建立連線。這一系列錯綜複雜的行動凸顯了野馬熊貓網路行動的先進性和持久性。

DOPLUGS 後門是網路犯罪集團惡意軟體庫中的新成員

研究人員於 2022 年 9 月首次觀察到，DOPLUGS 充當下載程序，配備了四個不同的後門命令。值得注意的是，其中一個指令旨在促進傳統版本的 PlugX 惡意軟體的下載。

安全專家也偵測到 DOPLUGS 的變體，其中包含一個名為KillSomeOne的模組。該插件有多種用途，包括傳播惡意軟體、收集資訊以及透過 USB 驅動器竊取文件。

DOPLUGS 的這種特殊變體包括一個額外的發射器組件。此元件使用 DLL 旁加載技術執行合法的可執行檔。此外，它還支援命令執行和從威脅行為者控制的伺服器下載下一階段惡意軟體等功能。

早在 2020 年 1 月，資訊安全研究人員就發現了一種採用 KillSomeOne 模組的客製化 PlugX 變體，專門為透過 USB 驅動器傳播而設計。該惡意軟體是針對香港和越南的一系列攻擊的一部分。

2023 年底，利用 DOPLUGS 針對台灣政治、外交和政府實體的 Mustang Panda 活動曝光。此攻擊操作顯示出一個顯著特徵－有害的DLL是使用Nim程式語言編寫的。與先前的版本不同，這個新變體採用了 RC4 演算法的獨特實作來解密 PlugX，這與先前版本中 Windows Cryptsp.dll 函式庫的常規使用不同。