Tác nhân đe dọa liên quan đến Trung Quốc được gọi là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á khác nhau bằng cách sử dụng một biến thể của backdoor PlugX (hay còn gọi là Korplug) có tên DOPLUGS.
"Phần mềm độc hại PlugX tùy chỉnh không giống với loại phần mềm độc hại PlugX chung có chứa mô-đun lệnh cửa hậu hoàn chỉnh và phần mềm trước chỉ được sử dụng để tải xuống mô-đun sau", các nhà nghiên cứu Sunny Lu và Pierre Lee của Trend Micro cho biết trong một bài viết kỹ thuật mới.
Mục tiêu của DOPLUGS chủ yếu nằm ở Đài Loan và Việt Nam, và ở mức độ thấp hơn ở Hồng Kông, Ấn Độ, Nhật Bản, Malaysia, Mông Cổ và thậm chí cả Trung Quốc.
PlugX là một công cụ chủ yếu của Mustang Panda, cũng được theo dõi như BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 và TEMP. Hex. Nó được biết là hoạt động ít nhất từ năm 2012, mặc dù nó lần đầu tiên được đưa ra ánh sáng vào năm 2017.
Thương mại của tác nhân đe dọa đòi hỏi phải thực hiện các chiến dịch lừa đảo giả mạo được thiết kế để triển khai phần mềm độc hại tùy chỉnh. Nó cũng có một hồ sơ theo dõi triển khai các biến thể PlugX tùy chỉnh của riêng mình như RedDelta, Thor, Hodur và DOPLUGS (được phân phối thông qua một chiến dịch có tên SmugX) kể từ năm 2018.
Các chuỗi thỏa hiệp tận dụng một tập hợp các chiến thuật riêng biệt, sử dụng các tin nhắn lừa đảo như một ống dẫn để cung cấp tải trọng giai đoạn đầu, trong khi hiển thị tài liệu mồi nhử cho người nhận, bí mật giải nén một tệp thực thi hợp pháp, có chữ ký dễ bị DLL side-loading để tải bên một thư viện liên kết động (DLL), từ đó giải mã và thực thi PlugX.
Phần mềm độc hại PlugX sau đó truy xuất trojan truy cập từ xa Poison Ivy (RAT) hoặc Cobalt Strike Beacon để thiết lập kết nối với máy chủ do Mustang Panda điều khiển.
Vào tháng 12/2023, Lab52 đã phát hiện ra một chiến dịch Mustang Panda nhắm vào các thực thể chính trị, ngoại giao và chính phủ Đài Loan bằng DOPLUGS, nhưng có sự khác biệt đáng chú ý.
"DLL độc hại được viết bằng ngôn ngữ lập trình Nim", Lab52 nói. "Biến thể mới này sử dụng thuật toán RC4 của riêng mình để giải mã PlugX, không giống như các phiên bản trước sử dụng thư viện Windows Cryptsp.dll."
DOPLUGS, lần đầu tiên được ghi nhận bởi Secureworks vào tháng 9 năm 2022, là một trình tải xuống với bốn lệnh cửa hậu, một trong số đó được sắp xếp để tải xuống loại chung của phần mềm độc hại PlugX.
Trend Micro cho biết họ cũng xác định các mẫu DOPLUGS được tích hợp với một mô-đun được gọi là KillSomeOne, một plugin chịu trách nhiệm phân phối phần mềm độc hại, thu thập thông tin và đánh cắp tài liệu qua ổ USB.
Biến thể này được trang bị một thành phần launcher bổ sung thực thi tệp thực thi hợp pháp để thực hiện DLL sideloading, ngoài chức năng hỗ trợ chạy lệnh và tải xuống phần mềm độc hại giai đoạn tiếp theo từ máy chủ do tác nhân kiểm soát.
Điều đáng chú ý là một biến thể PlugX tùy chỉnh, bao gồm mô-đun KillSomeOne được thiết kế để lây lan qua USB, đã được Avira phát hiện vào đầu tháng 1 năm 2020 như một phần của các cuộc tấn công nhắm vào Hồng Kông và Việt Nam.
"Điều này cho thấy Earth Preta đã tinh chỉnh các công cụ của mình trong một thời gian, liên tục bổ sung các chức năng và tính năng mới", các nhà nghiên cứu cho biết. "Nhóm vẫn hoạt động tích cực, đặc biệt là ở châu Âu và châu Á."