Puerta trasera DOPLUGS empleada por hackers chinos

Mustang Panda, un actor de amenazas con vínculos con China, ha centrado sus esfuerzos de ciberespionaje en varias naciones asiáticas empleando una versión modificada de la puerta trasera PlugX (también conocida como Korplug), denominada DOPLUGS.

Según los investigadores, este malware PlugX personalizado se diferencia de la variante típica por carecer de un módulo de comando de puerta trasera completo. En cambio, tiene el único propósito de descargar dicho módulo. DOPLUGS se dirige principalmente a entidades en Taiwán y Vietnam, con casos menores en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.

Mustang Panda, también identificado como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP.Hex, ha estado utilizando PlugX desde al menos 2012, aunque sus actividades se revelaron por primera vez en 2017.

Mustang Panda utiliza el phishing como vector de ataque inicial

El modus operandi del actor de amenazas implica la ejecución de sofisticadas campañas de phishing para entregar diversos programas maliciosos personalizados. Desde 2018, Mustang Panda ha estado implementando sus propias versiones personalizadas de PlugX, como RedDelta, Thor, Hodur y DOPLUGS (difundidas a través de la campaña SmugX).

Las cadenas de compromiso implican mensajes de phishing bien elaborados, que entregan una carga útil inicial disfrazada de documento señuelo. Esta carga útil descomprime en secreto un ejecutable legítimo y firmado, vulnerable a la carga lateral de DLL. Posteriormente, se carga lateralmente una biblioteca de enlaces dinámicos (DLL), que descifra y ejecuta PlugX.

Luego, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.

En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS. En particular, esta variante presenta una DLL maliciosa escrita en el lenguaje de programación Nim y emplea su propia implementación del algoritmo RC4 para descifrar PlugX, a diferencia de versiones anteriores que dependían de la biblioteca Cryptsp.dll de Windows.