Бэкдор DOPLUGS, используемый китайскими хакерами
Mustang Panda, злоумышленник, связанный с Китаем, сосредоточил свои усилия по кибершпионажу на нескольких азиатских странах, применив модифицированную версию бэкдора PlugX (также известного как Korplug) под названием DOPLUGS.
По мнению исследователей, эта модифицированная вредоносная программа PlugX отличается от типичного варианта отсутствием полноценного командного модуля бэкдора. Вместо этого он служит единственной цели — загрузить указанный модуль. DOPLUGS в первую очередь нацелен на организации на Тайване и во Вьетнаме, реже в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
Mustang Panda, также известный как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex, использует PlugX по крайней мере с 2012 года, хотя его деятельность была впервые раскрыта в 2017.
Mustang Panda использует фишинг как первоначальный вектор атаки
Методы действий злоумышленника включают в себя проведение сложных целевых фишинговых кампаний с целью доставки различных специализированных вредоносных программ. С 2018 года Mustang Panda внедряет собственные версии PlugX, такие как RedDelta, Thor, Hodur и DOPLUGS (распространяемые через кампанию SmugX).
Цепочки компрометации включают тщательно составленные целевые фишинговые сообщения, доставляющие первоначальную полезную нагрузку, замаскированную под документ-ловушку. Эта полезная нагрузка тайно распаковывает законный подписанный исполняемый файл, уязвимый для боковой загрузки DLL. Впоследствии библиотека динамической компоновки (DLL) загружается неопубликованно, расшифровывает и выполняет PlugX.
Затем вредоносное ПО PlugX загружает трояна удаленного доступа Poison Ivy (RAT) или Cobalt Strike Beacon, чтобы установить соединение с сервером, контролируемым Mustang Panda.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские политические, дипломатические и правительственные организации с помощью DOPLUGS. Примечательно, что этот вариант содержит вредоносную DLL, написанную на языке программирования Nim, и использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от предыдущих версий, которые полагались на библиотеку Windows Cryptsp.dll.
