Backdoor DOPLUGS empregado por hackers chineses
O Mustang Panda, um ator de ameaças com ligações com a China, concentrou seus esforços de espionagem cibernética em vários países asiáticos, empregando uma versão modificada do backdoor PlugX (também conhecido como Korplug), chamada DOPLUGS.
Segundo os pesquisadores, esse malware PlugX personalizado difere da variante típica por não possuir um módulo de comando backdoor completo. Em vez disso, serve ao único propósito de baixar o referido módulo. DOPLUGS tem como alvo principal entidades em Taiwan e Vietnã, com instâncias menores em Hong Kong, Índia, Japão, Malásia, Mongólia e até China.
Mustang Panda, também identificado como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 e TEMP.Hex, utiliza PlugX pelo menos desde 2012, embora suas atividades tenham sido reveladas pela primeira vez em 2017.
Mustang Panda usa phishing como vetor de ataque inicial
O modus operandi do agente da ameaça envolve a execução de campanhas sofisticadas de spear-phishing para entregar vários malwares personalizados. Desde 2018, o Mustang Panda vem implantando suas próprias versões personalizadas do PlugX, como RedDelta, Thor, Hodur e DOPLUGS (divulgadas por meio da campanha SmugX).
As cadeias de comprometimento envolvem mensagens de spearphishing bem elaboradas, entregando uma carga inicial disfarçada como um documento chamariz. Essa carga útil descompacta secretamente um executável legítimo e assinado, vulnerável ao carregamento lateral de DLL. Posteriormente, uma biblioteca de vínculo dinâmico (DLL) é carregada lateralmente, descriptografando e executando o PlugX.
O malware PlugX então busca o trojan de acesso remoto (RAT) Poison Ivy ou Cobalt Strike Beacon para estabelecer uma conexão com um servidor controlado pelo Mustang Panda.
Em dezembro de 2023, Lab52 descobriu uma campanha do Mustang Panda visando entidades políticas, diplomáticas e governamentais de Taiwan com DOPLUGS. Notavelmente, esta variante apresenta uma DLL maliciosa escrita na linguagem de programação Nim e emprega sua própria implementação de algoritmo RC4 para descriptografar o PlugX, diferentemente das versões anteriores que dependiam da biblioteca Windows Cryptsp.dll.
