El Departamento de Justicia de los EE. UU. (DoJ) reveló el martes que una operación autorizada por un tribunal permitió al FBI eliminar el malware PlugX de más de 4,250 computadoras infectadas como parte de una “operación de aplicación de la ley de varios meses.”
PlugX, también conocido como Korplug, es un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas asociados con la República Popular China (RPC), que permite el robo de información y el control remoto de dispositivos comprometidos.
Una declaración jurada presentada por el FBI indicó que la variante identificada de PlugX está vinculada a un grupo de hackers patrocinado por el estado llamado Mustang Panda, también conocido como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y Twill Typhoon.
“Desde al menos 2014, los hackers de Mustang Panda infiltraron miles de sistemas informáticos en campañas dirigidas a víctimas en EE. UU., así como a gobiernos y empresas de Europa y Asia, y a grupos disidentes chinos,” declaró el DoJ.
Otros objetivos de las campañas incluyen Taiwán, Hong Kong, Japón, Corea del Sur, Mongolia, India, Myanmar, Indonesia, Filipinas, Tailandia, Vietnam y Pakistán.
La operación es parte de un esfuerzo mayor de “desinfección” que comenzó a fines de julio de 2024 para eliminar el malware PlugX de los sistemas comprometidos. Los detalles fueron compartidos previamente por la Fiscalía de París y la firma de ciberseguridad Sekoia.
Según Sekoia, esta variante específica de PlugX se propaga a otros sistemas a través de dispositivos USB conectados. Una vez instalado, el malware se comunica con un servidor controlado por el atacante (“45.142.166[.]112”) para recibir más comandos y recopilar datos del sistema anfitrión.
En abril de 2024, la empresa reveló que gastó solo $7 para redirigir el servidor a través de un “sinkhole,” permitiendo emitir un comando de autodestrucción para borrar el malware de las máquinas infectadas.
El comando ejecutó los siguientes pasos:
• Eliminar los archivos creados por el malware PlugX en la computadora víctima.
• Eliminar las claves del registro usadas para ejecutar automáticamente PlugX al iniciar la computadora.
• Crear un archivo temporal para eliminar la aplicación PlugX después de detenerla.
• Detener la aplicación PlugX.
• Ejecutar el archivo temporal para eliminar la aplicación PlugX, su directorio de almacenamiento y el archivo temporal.
The U.S. Department of Justice (DoJ) revealed on Tuesday that a court-authorized operation enabled the FBI to delete PlugX malware from over 4,250 infected computers as part of a “multi-month law enforcement operation.”
PlugX, also known as Korplug, is a remote access trojan (RAT) widely employed by threat actors linked to the People’s Republic of China (PRC), facilitating information theft and remote device control.
An affidavit filed by the FBI stated that the identified PlugX variant is associated with a state-sponsored hacking group called Mustang Panda, also referred to as BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416, and Twill Typhoon.
“Since at least 2014, Mustang Panda hackers have infiltrated thousands of computer systems in campaigns targeting U.S. victims, European and Asian governments, businesses, and Chinese dissident groups,” the DoJ noted.
Additional targets include Taiwan, Hong Kong, Japan, South Korea, Mongolia, India, Myanmar, Indonesia, the Philippines, Thailand, Vietnam, and Pakistan.
The disruption is part of a broader “disinfection” effort initiated in late July 2024 to remove PlugX malware from compromised systems. Details were previously shared by the Paris Prosecutor’s Office and cybersecurity firm Sekoia.
According to Sekoia, this PlugX variant spreads via attached USB devices. Once installed, it connects to an attacker-controlled server (“45.142.166[.]112”) to receive further instructions and collect host data.
In April 2024, the firm revealed it spent just $7 to redirect the server using a sinkhole, enabling them to issue a self-delete command to erase the malware from infected systems.
The command executed the following steps:
• Delete files created by PlugX malware on the victim’s computer.
• Remove registry keys used to auto-run PlugX on system startup.
• Create a temporary script to delete PlugX after stopping it.
• Stop the PlugX application.
• Run the temporary script to delete PlugX, its storage directory, and the script itself.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
