DOPLUGS Backdoor που χρησιμοποιείται από Κινέζους χάκερ

Η Mustang Panda, ένας παράγοντας απειλών με δεσμούς με την Κίνα, έχει επικεντρώσει τις προσπάθειές της στον κυβερνοχώρο κατασκοπείας σε πολλά ασιατικά έθνη χρησιμοποιώντας μια τροποποιημένη έκδοση της κερκόπορτας PlugX (επίσης γνωστή ως Korplug), που ονομάζεται DOPLUGS.

Σύμφωνα με τους ερευνητές, αυτό το προσαρμοσμένο κακόβουλο λογισμικό PlugX διαφέρει από την τυπική παραλλαγή, καθώς δεν διαθέτει μια πλήρη μονάδα εντολών backdoor. Αντίθετα, εξυπηρετεί τον μοναδικό σκοπό της λήψης της εν λόγω ενότητας. Το DOPLUGS στοχεύει κυρίως οντότητες στην Ταϊβάν και το Βιετνάμ, με μικρότερες περιπτώσεις στο Χονγκ Κονγκ, την Ινδία, την Ιαπωνία, τη Μαλαισία, τη Μογγολία, ακόμη και την Κίνα.

Η Mustang Panda, που προσδιορίζεται επίσης ως BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 και TEMP.Hex, χρησιμοποιεί το PlugX τουλάχιστον από το 2012, αν και οι δραστηριότητές του αποκαλύφθηκαν για πρώτη φορά στο 2017.

Η Mustang Panda χρησιμοποιεί το ηλεκτρονικό ψάρεμα ως διάνυσμα αρχικής επίθεσης

Ο τρόπος λειτουργίας του ηθοποιού απειλής περιλαμβάνει την εκτέλεση εξελιγμένων εκστρατειών spear-phishing για την παράδοση διαφόρων προσαρμοσμένων κακόβουλων προγραμμάτων. Από το 2018, η Mustang Panda έχει αναπτύξει τις δικές της προσαρμοσμένες εκδόσεις του PlugX, όπως RedDelta, Thor, Hodur και DOPLUGS (που διαδίδονται μέσω της καμπάνιας SmugX).

Οι αλυσίδες συμβιβασμού περιλαμβάνουν καλοσχεδιασμένα μηνύματα ψαρέματος με δόρυ, που παραδίδουν ένα αρχικό ωφέλιμο φορτίο μεταμφιεσμένο σε έγγραφο δόλωμα. Αυτό το ωφέλιμο φορτίο αποσυσκευάζει κρυφά ένα νόμιμο, υπογεγραμμένο εκτελέσιμο ευάλωτο στην πλευρική φόρτωση DLL. Στη συνέχεια, μια βιβλιοθήκη δυναμικής σύνδεσης (DLL) φορτώνεται πλευρικά, αποκρυπτογραφώντας και εκτελώντας το PlugX.

Στη συνέχεια, το κακόβουλο λογισμικό PlugX ανακτά τον trojan απομακρυσμένης πρόσβασης Poison Ivy (RAT) ή το Cobalt Strike Beacon για να δημιουργήσει μια σύνδεση με έναν διακομιστή που ελέγχεται από τη Mustang Panda.

Τον Δεκέμβριο του 2023, το Lab52 ανακάλυψε μια καμπάνια Mustang Panda που στόχευε πολιτικές, διπλωματικές και κυβερνητικές οντότητες της Ταϊβάν με DOPLUGS. Συγκεκριμένα, αυτή η παραλλαγή διαθέτει ένα κακόβουλο DLL γραμμένο στη γλώσσα προγραμματισμού Nim και χρησιμοποιεί τη δική της υλοποίηση αλγορίθμου RC4 για την αποκρυπτογράφηση του PlugX, παρεκκλίνοντας από προηγούμενες εκδόσεις που βασίζονταν στη βιβλιοθήκη Cryptsp.dll των Windows.