Opération contre le Malware PlugX : la France clic sur le bouton OFF

Les autorités judiciaires françaises, en collaboration avec Europol, ont lancé une « opération de désinfection » visant à éliminer le malware connu sous le nom de PlugX. Cette initiative, pilotée par le Parquet de Paris, a débuté le 18 juillet et devrait se poursuivre pendant plusieurs mois.

✨✨ RECEVEZ LES INFOS DE LA SEMAINE ZATAZ, CHAQUE SAMEDI, PAR COURRIEL ! ✨✨
✨ Ne manquez rien ! Abonnez-vous dès maintenant et restez informé ! ✨

Selon le Parquet de Paris, cette opération a déjà permis à une centaine de victimes situées en France, à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche de bénéficier de ces efforts de nettoyage. Cette initiative fait suite à une action de la société française de cybersécurité Sekoia, qui a révélé en septembre 2023 avoir pris le contrôle d’un serveur de commande et de contrôle (C2) lié au trojan PlugX en achetant une adresse IP pour seulement 7 dollars. Depuis cette opération, près de 100 000 adresses IP publiques uniques envoient quotidiennement des requêtes PlugX vers le domaine saisi.

PlugX : Un Malware Redoutable

PlugX, également connu sous le nom de Korplug, est un trojan d’accès à distance (RAT) utilisé par des acteurs menaçants liés à la Chine depuis au moins 2008. Ce malware utilise des techniques de DLL side-loading pour s’exécuter sur des hôtes compromis, permettant aux attaquants d’exécuter des commandes arbitraires, de télécharger et de téléverser des fichiers, d’énumérer des fichiers et de collecter des données sensibles. Cette backdoor [porte cachée], initialement développé par Zhao Jibin (alias WHG), a évolué en différentes variantes au fil du temps. Le constructeur PlugX a été partagé entre plusieurs ensembles d’intrusion, la plupart étant attribués à des entreprises écran liées au ministère de la Sécurité d’État chinois.

Au fil des années, PlugX a également intégré une composante de type ver, lui permettant de se propager via des clés USB infectées, contournant ainsi les réseaux isolés. Les variantes du malware avec ce mécanisme de distribution USB sont dotées d’une commande d’autodestruction (« 0x1005 ») pour se supprimer des stations de travail compromises, bien qu’il n’existe actuellement aucun moyen de l’éliminer des périphériques USB eux-mêmes.

L’entreprise a développé une solution pour supprimer PlugX et a proposé cette solution via Europol aux pays partenaires. La société a indiqué que, compte tenu des complications juridiques liées à l’effacement à distance du malware, elle a décidé de laisser cette décision aux équipes nationales de réponse aux urgences informatiques (CERT), aux agences de sécurité (LEA) et aux autorités de cybersécurité.

Le mystère de la commande d’autodestruction

Le trojan PlugX possède une commande d’autodestruction, est-ce ce qui a été utilisé pour le retirer des machines ? Les autorités n’ont pas explicitement confirmé cette méthode, mais il est plausible que cette fonctionnalité ait été exploitée dans le cadre de l’opération de désinfection.

Les chercheurs de Palo Alto Networks ont découvert, en 2017, de nouvelles modifications du célèbre cheval de Troie PlugX, utilisé depuis de nombreuses années dans des campagnes malveillantes en Chine. Le malware est distribué via un document Word malveillant intitulé New Salary Structure 2017.doc, exploitant la vulnérabilité CVE-2017-0199. Le programme d’installation pour Windows (MSI) et un script PowerShell sont téléchargés sur la machine de la victime, la DLL principale PlugX étant chargée en mémoire après vérification de l’environnement.

Les experts ont découvert que le code du malware contient un certain nombre d’URL Pastebin, où sont stockées les adresses des serveurs de contrôle. Cette version de PlugX, qualifiée de « paranoïaque », supprime méticuleusement toutes les traces de son installation, rendant la détection par les experts en forensic plus difficile.

✨✨ RECEVEZ LES INFOS DE LA SEMAINE ZATAZ, CHAQUE SAMEDI, PAR COURRIEL ! ✨✨
✨ Ne manquez rien ! Abonnez-vous dès maintenant et restez informé ! ✨

Les campagnes de phishing et les groupes APT

En 2020, le groupe APT TA410, dont les campagnes de phishing ciblaient les fournisseurs de services énergétiques aux États-Unis en 2019, avait été repéré. TA410 utilisait des chevaux de Troie d’accès à distance tels que LookBack et FlowCloud. Des outils classiques reprenant la base d’un cheval de Troie (Trojan) : l’accès au presse-papiers, aux applications, au clavier, à la souris, et à la capture d’écran.

Proofpoint avait remarqué des similitudes entre les tactiques, techniques et procédures (TTP) de TA410 et d’APT10 (Stone Panda), mais sans pouvoir tirer de conclusions définitives. Les chercheurs d’ESET ont ensuite identifié TA410 comme étant composé de trois équipes distinctes : FlowingFrog, LookingFrog et JollyFrog, partageant une infrastructure commune mais opérant indépendamment. JollyFrog utilise des logiciels malveillants prêts à l’emploi comme QuasarRAT et Korplug (PlugX), tandis que FlowingFrog utilise le chargeur Tendyron pour télécharger FlowCloud et un second backdoor basé sur Gh0stRAT.

TA410 a été repéré dans des attaques contre des organisations américaines de services publics, des institutions diplomatiques au Moyen-Orient et en Afrique, une entreprise manufacturière au Japon, une entreprise minière en Inde et une organisation caritative en Israël. Les chercheurs d’ESET ont découvert une nouvelle version de FlowCloud capable d’enregistrer du son via le microphone de l’ordinateur, de suivre les événements du presse-papiers et de contrôler les caméras connectées pour prendre des photos.