中国黑客使用的 DOPLUGS 后门

与中国有联系的威胁组织 Mustang Panda 通过使用名为 DOPLUGS 的 PlugX（也称为 Korplug）后门的修改版本，将其网络间谍活动集中在几个亚洲国家。

研究人员表示，这种定制的 PlugX 恶意软件与典型变种的不同之处在于缺乏完整的后门命令模块。相反，它的唯一目的是下载所述模块。 DOPLUGS 主要针对台湾和越南的实体，香港、印度、日本、马来西亚、蒙古甚至中国的实体也较少。

Mustang Panda（也称为 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416 和 TEMP.Hex）至少从 2012 年起就一直在使用 PlugX，尽管其活动首次披露于2017年。

Mustang Panda 使用网络钓鱼作为初始攻击媒介

威胁行为者的作案手法涉及执行复杂的鱼叉式网络钓鱼活动来传播各种自定义恶意软件。自 2018 年以来，Mustang Panda 一直在部署自己定制的 PlugX 版本，例如 RedDelta、Thor、Hodur 和 DOPLUGS（通过 SmugX 活动传播）。

妥协链涉及精心设计的鱼叉式网络钓鱼消息，提供伪装成诱饵文档的初始有效负载。此有效负载会秘密解压一个合法的、经过签名的可执行文件，该可执行文件容易受到 DLL 侧面加载的影响。随后，动态链接库 (DLL) 被旁加载，解密并执行 PlugX。

然后，PlugX 恶意软件会获取 Poison Ivy 远程访问木马 (RAT) 或 Cobalt Strike Beacon，以与 Mustang Panda 控制的服务器建立连接。

2023 年 12 月，Lab52 发现了一场针对台湾政治、外交和政府实体的 Mustang Panda 活动，其中包括 DOPLUGS。值得注意的是，该变种具有用 Nim 编程语言编写的恶意 DLL，并采用自己的 RC4 算法实现来解密 PlugX，这与依赖 Windows Cryptsp.dll 库的先前版本不同。