27 de julio de 2024Sala de prensaMalware / Inteligencia cibernética Las autoridades judiciales francesas, en colaboración con Europol, han lanzado una denominada «operación de desinfección» para librar a los hosts comprometidos de un malware conocido llamado PlugX. La Fiscalía de París, Parquet de Paris, dijo que la iniciativa se lanzó el 18 de julio y que se espera que continúe durante «varios meses». Además, dijo que alrededor de un centenar de víctimas ubicadas en Francia, Malta, Portugal, Croacia, Eslovaquia y Austria ya se han beneficiado de los esfuerzos de limpieza. El desarrollo se produce casi tres meses después de que la empresa francesa de ciberseguridad Sekoia revelara que había pirateado un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023 al gastar $ 7 para adquirir la dirección IP. También señaló que casi 100.000 direcciones IP públicas únicas han estado enviando solicitudes PlugX diariamente al dominio confiscado. PlugX (también conocido como Korplug) es un troyano de acceso remoto (RAT) ampliamente utilizado por los actores de amenazas con nexo con China desde al menos 2008, junto con otras familias de malware como Gh0st RAT y ShadowPad. El malware generalmente se lanza dentro de hosts comprometidos mediante técnicas de carga lateral de DLL, lo que permite a los actores de amenazas ejecutar comandos arbitrarios, cargar/descargar archivos, enumerar archivos y recopilar datos confidenciales. «Esta puerta trasera, desarrollada inicialmente por Zhao Jibin (también conocido como WHG), evolucionó a lo largo del tiempo en diferentes variantes», dijo Sekoia a principios de abril. «El constructor PlugX fue compartido entre varios conjuntos de intrusiones, la mayoría de ellos atribuidos a empresas fachada vinculadas al Ministerio de Seguridad del Estado chino». A lo largo de los años, también ha incorporado un componente que se puede convertir en gusano y que le permite propagarse a través de unidades USB infectadas, evitando de manera efectiva las redes con espacio de aire. Sekoia, que ideó una solución para eliminar PlugX, dijo que las variantes del malware con el mecanismo de distribución USB vienen con un comando de autoeliminación («0x1005») para eliminarse de las estaciones de trabajo comprometidas, aunque actualmente no hay forma de eliminarlo de los dispositivos USB. «En primer lugar, el gusano tiene la capacidad de existir en redes con espacios de aire, lo que hace que estas infecciones estén fuera de nuestro alcance», dijo. «En segundo lugar, y quizás más notable, el gusano PlugX puede residir en dispositivos USB infectados durante un período prolongado sin estar conectado a una estación de trabajo». Dadas las complicaciones legales involucradas en la eliminación remota del malware de los sistemas, la compañía señaló además que está aplazando la decisión a los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales, las agencias de aplicación de la ley (LEA) y las autoridades de ciberseguridad. «Tras un informe de Sekoia.io, las autoridades judiciales francesas lanzaron una operación de desinfección para desmantelar la botnet controlada por el gusano PlugX. PlugX afectó a varios millones de víctimas en todo el mundo», dijo Sekoia a The Hacker News. «La solución de desinfección desarrollada por el equipo TDR de Sekoia.io fue propuesta a través de Europol a los países socios y se está implementando en este momento». «Estamos satisfechos con la fructífera cooperación con los actores involucrados en Francia (sección J3 de la Fiscalía de París, Policía, Gendarmería y ANSSI) e internacionalmente (Europol y fuerzas policiales de terceros países) para tomar medidas contra actividades cibernéticas maliciosas de larga duración». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.