Porte dérobée DOPLUGS utilisée par des pirates chinois

Mustang Panda, un acteur menaçant ayant des liens avec la Chine, a concentré ses efforts de cyberespionnage sur plusieurs pays asiatiques en employant une version modifiée de la porte dérobée PlugX (également connue sous le nom de Korplug), nommée DOPLUGS.

Selon les chercheurs, ce malware PlugX personnalisé diffère de la variante typique par l'absence d'un module de commande de porte dérobée complet. Au lieu de cela, il sert uniquement à télécharger ledit module. DOPLUGS cible principalement des entités à Taiwan et au Vietnam, avec des cas moindres à Hong Kong, en Inde, au Japon, en Malaisie, en Mongolie et même en Chine.

Mustang Panda, également identifié comme BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 et TEMP.Hex, utilise PlugX depuis au moins 2012, bien que ses activités aient été révélées pour la première fois dans 2017.

Mustang Panda utilise le phishing comme vecteur d'attaque initial

Le mode opératoire de l'acteur malveillant consiste à exécuter des campagnes sophistiquées de spear phishing pour diffuser divers logiciels malveillants personnalisés. Depuis 2018, Mustang Panda déploie ses propres versions sur mesure de PlugX, telles que RedDelta, Thor, Hodur et DOPLUGS (diffusées via la campagne SmugX).

Les chaînes de compromission impliquent des messages de spear phishing bien conçus, délivrant une charge utile initiale déguisée en document leurre. Cette charge utile décompresse secrètement un exécutable légitime et signé vulnérable au chargement latéral de DLL. Par la suite, une bibliothèque de liens dynamiques (DLL) est chargée latéralement, déchiffrant et exécutant PlugX.

Le malware PlugX récupère ensuite le cheval de Troie d'accès à distance (RAT) Poison Ivy ou Cobalt Strike Beacon pour établir une connexion avec un serveur contrôlé par Mustang Panda.

En décembre 2023, Lab52 a découvert une campagne Mustang Panda ciblant les entités politiques, diplomatiques et gouvernementales taïwanaises avec DOPLUGS. Notamment, cette variante comporte une DLL malveillante écrite dans le langage de programmation Nim et utilise sa propre implémentation d'algorithme RC4 pour décrypter PlugX, s'écartant des versions précédentes qui reposaient sur la bibliothèque Windows Cryptsp.dll.

Par Zaib
February 22, 2024
Computer Security
Français
February 22, 2024
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.