DOPLUGS Backdoor A kínai hackerek alkalmazottai
A Mustang Panda, a Kínához kötődő fenyegetések szereplője kiberkémkedési erőfeszítéseit több ázsiai nemzetre összpontosította a PlugX (Korplug néven is ismert) hátsó ajtó módosított változatának, a DOPLUGS-nak a alkalmazásával.
A kutatók szerint ez a személyre szabott PlugX kártevő abban különbözik a tipikus változattól, hogy hiányzik egy komplett hátsó ajtó parancsmodul. Ehelyett kizárólag az említett modul letöltését szolgálja. A DOPLUGS elsősorban tajvani és vietnami entitásokat céloz meg, kisebb példányokkal Hongkongban, Indiában, Japánban, Malajziában, Mongóliában és még Kínában is.
A Mustang Panda, más néven BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 és TEMP.Hex, legalább 2012 óta használja a PlugX-et, bár tevékenységét először 2012-ben tárták fel. 2017.
A Mustang Panda adathalászatot használ kezdeti támadási vektorként
A fenyegetettség szereplőjének működési módja magában foglalja a kifinomult adathalász kampányok végrehajtását különböző egyéni rosszindulatú programok szállítása érdekében. 2018 óta a Mustang Panda a PlugX saját testreszabott verzióit telepíti, mint például a RedDelta, a Thor, a Hodur és a DOPLUGS (a SmugX kampányon keresztül terjesztve).
A kompromisszumos láncok jól kidolgozott adathalász üzeneteket tartalmaznak, amelyek csalidokumentumnak álcázva szállítják a kezdeti hasznos terhet. Ez a hasznos adat titokban kicsomagolja a törvényes, aláírt végrehajtható fájlt, amely sebezhető a DLL oldalsó betöltésével szemben. Ezt követően egy dinamikus kapcsolati könyvtár (DLL) oldalról betöltődik, dekódolja és végrehajtja a PlugX-et.
A PlugX kártevő ezután letölti a Poison Ivy távelérési trójai (RAT) vagy a Cobalt Strike Beacon nevű jelzőt, hogy kapcsolatot létesítsen a Mustang Panda által vezérelt szerverrel.
2023 decemberében a Lab52 felfedezett egy Mustang Panda kampányt, amely a DOPLUGS segítségével tajvani politikai, diplomáciai és kormányzati szerveket céloz meg. Ez a változat egy Nim programozási nyelven írt rosszindulatú DLL-t tartalmaz, és saját RC4 algoritmust alkalmaz a PlugX visszafejtésére, eltérve a Windows Cryptsp.dll könyvtárra támaszkodó korábbi verzióktól.
