中國駭客使用的 DOPLUGS 後門

與中國有聯繫的威脅組織 Mustang Panda 透過使用名為 DOPLUGS 的 PlugX（也稱為 Korplug）後門的修改版本，將其網路間諜活動集中在幾個亞洲國家。

研究人員表示，這種客製化的 PlugX 惡意軟體與典型變種的不同之處在於缺乏完整的後門命令模組。相反，它的唯一目的是下載所述模組。 DOPLUGS 主要針對台灣和越南的實體，香港、印度、日本、馬來西亞、蒙古甚至中國的實體也較少。

Mustang Panda（也稱為 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416 和 TEMP.Hex）至少從 2012 年起就一直在使用 PlugX，儘管其活動首次披露於2017年。

Mustang Panda 使用網路釣魚作為初始攻擊媒介

威脅行為者的作案手法涉及執行複雜的魚叉式網路釣魚活動來傳播各種自訂惡意軟體。自 2018 年以來，Mustang Panda 一直在部署自己客製化的 PlugX 版本，例如 RedDelta、Thor、Hodur 和 DOPLUGS（透過 SmugX 活動傳播）。

妥協鏈涉及精心設計的魚叉式網路釣魚訊息，提供偽裝成誘餌文件的初始有效負載。此有效負載會秘密解壓縮一個合法的、經過簽署的可執行文件，該可執行文件容易受到 DLL 側面載入的影響。隨後，動態連結程式庫 (DLL) 被旁加載，解密並執行 PlugX。

然後，PlugX 惡意軟體會取得 Poison Ivy 遠端存取木馬 (RAT) 或 Cobalt Strike Beacon，以與 Mustang Panda 控制的伺服器建立連線。

2023 年 12 月，Lab52 發現了一場針對台灣政治、外交和政府實體的 Mustang Panda 活動，其中包括 DOPLUGS。值得注意的是，該變種具有用 Nim 程式語言編寫的惡意 DLL，並採用自己的 RC4 演算法實作來解密 PlugX，這與依賴 Windows Cryptsp.dll 程式庫的先前版本不同。