Las autoridades judiciales francesas, en colaboración con Europol, han puesto en marcha una operación de «desinfección» para eliminar los hosts comprometidos por el conocido malware PlugX.
La Fiscalía de París, Parquet de Paris, informó que la iniciativa se lanzó el 18 de julio y se espera que continúe durante «varios meses».
Alrededor de cien víctimas ubicadas en Francia, Malta, Portugal, Croacia, Eslovaquia y Austria ya se han beneficiado de los esfuerzos de limpieza.
Casi tres meses atrás, la firma francesa de ciberseguridad Sekoia reveló que se apropió de un servidor de comando y control (C2) relacionado con el troyano PlugX en septiembre de 2023, gastando $7 para adquirir la dirección IP. También señaló que casi 100,000 direcciones IP públicas únicas envían solicitudes de PlugX diariamente al dominio incautado.
PlugX (también conocido como Korplug) es un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas chinos desde al menos 2008, en conjunto con otras familias de malware como Gh0st RAT y ShadowPad.
El malware se lanza normalmente en hosts comprometidos utilizando técnicas de carga lateral de DLL, lo que permite a los actores de amenazas ejecutar comandos arbitrarios, subir/bajar archivos, enumerar archivos y recopilar datos sensibles.
La empresa destacó que el malware ha evolucionado a lo largo del tiempo en diferentes variantes, compartido entre varios conjuntos de intrusiones, la mayoría de ellos atribuidos a empresas vinculadas al Ministerio de Seguridad del Estado de China.
Además, PlugX ha incorporado un componente gusano que le permite propagarse a través de unidades USB infectadas, evitando efectivamente las redes aisladas.
Sekoia, que ideó una solución para eliminar PlugX, dijo que las variantes del malware con el mecanismo de distribución USB vienen con un comando de autodescarga («0x1005») para eliminarlo de las estaciones de trabajo comprometidas, aunque actualmente no hay forma de eliminarlo de los dispositivos USB en sí.
Dada la complejidad legal para borrar remotamente el malware de los sistemas, Sekoia dejó la decisión en manos de Equipos de Respuesta a Emergencias Informáticas (CERT), agencias de aplicación de la ley y autoridades de ciberseguridad nacionales.
«Tras un informe de Sekoia.io, las autoridades judiciales francesas lanzaron una operación de desinfección para desmantelar la red de bots controlada por el gusano PlugX. PlugX afectó a varios millones de víctimas en todo el mundo», dijo Sekoia. «Una solución de desinfección desarrollada por el equipo de TDR de Sekoia.io fue propuesta a través de Europol a países asociados y se está implementando en este momento.»
«Estamos satisfechos con la cooperación fructífera con los actores involucrados en Francia (sección J3 de la Fiscalía de París, la Policía, la Gendarmería y ANSSI) e internacionalmente (Europol y fuerzas policiales de terceros países) para actuar contra actividades cibernéticas maliciosas de larga duración».
Vía The Hacker News
