Backdoor DOPLUGS wykorzystywany przez chińskich hakerów
Mustang Panda, ugrupowanie zagrażające powiązane z Chinami, skoncentrowało swoje wysiłki cyberszpiegowskie na kilku krajach azjatyckich, wykorzystując zmodyfikowaną wersję backdoora PlugX (znanego również jako Korplug) o nazwie DOPLUGS.
Według badaczy to dostosowane szkodliwe oprogramowanie typu PlugX różni się od typowego wariantu brakiem kompletnego modułu poleceń backdoora. Zamiast tego służy wyłącznie do pobrania wspomnianego modułu. Celem DOPLUGS są przede wszystkim podmioty z Tajwanu i Wietnamu, z mniejszą liczbą przypadków w Hongkongu, Indiach, Japonii, Malezji, Mongolii, a nawet Chinach.
Mustang Panda, znany również jako BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 i TEMP.Hex, korzysta z PlugX co najmniej od 2012 r., chociaż jego działania zostały po raz pierwszy ujawnione w 2017.
Mustang Panda wykorzystuje phishing jako wektor ataku początkowego
Sposób działania cyberprzestępcy polega na przeprowadzaniu wyrafinowanych kampanii typu spear-phishing w celu dostarczania różnych niestandardowych szkodliwych programów. Od 2018 roku Mustang Panda wdraża własne, dostosowane do potrzeb wersje PlugX, takie jak RedDelta, Thor, Hodur i DOPLUGS (rozpowszechniane za pośrednictwem kampanii SmugX).
Łańcuchy kompromisów obejmują dobrze spreparowane wiadomości typu spear-phishing, dostarczające początkowy ładunek ukryty pod fałszywym dokumentem. Ten ładunek w tajemnicy rozpakowuje legalny, podpisany plik wykonywalny podatny na boczne ładowanie biblioteki DLL. Następnie biblioteka dołączana dynamicznie (DLL) jest ładowana z boku, odszyfrowując i uruchamiając PlugX.
Szkodnik PlugX pobiera następnie trojana zdalnego dostępu Poison Ivy (RAT) lub Cobalt Strike Beacon, aby nawiązać połączenie z serwerem kontrolowanym przez Mustang Panda.
W grudniu 2023 r. Lab52 odkrył kampanię Mustang Panda za pomocą DOPLUGS skierowaną do tajwańskich podmiotów politycznych, dyplomatycznych i rządowych. Warto zauważyć, że ten wariant zawiera złośliwą bibliotekę DLL napisaną w języku programowania Nim i wykorzystuje własną implementację algorytmu RC4 do odszyfrowywania PlugX, różniąc się od poprzednich wersji, które opierały się na bibliotece Windows Cryptsp.dll.
