​Le département américain de la Justice a annoncé aujourd’hui que le FBI avait supprimé le malware chinois PlugX de plus de 4 200 ordinateurs sur des réseaux à travers les États-Unis.

Le malware, contrôlé par le groupe de cyberespionnage chinois Mustang Panda (également connu sous le nom de Twill Typhoon), a infecté des milliers de systèmes à l’aide d’une variante PlugX avec un composant vermifuge qui lui a permis de se propager via des clés USB.

Selon des documents judiciaires, la liste des victimes ciblées à l’aide de ce logiciel malveillant comprend « des compagnies maritimes européennes en 2024, plusieurs gouvernements européens de 2021 à 2023, des groupes dissidents chinois du monde entier et des gouvernements de l’Indo-Pacifique (par exemple, Taiwan, Hong Kong, Japon, Corée du Sud, Mongolie, Inde, Myanmar, Indonésie, Philippines, Thaïlande, Vietnam et Pakistan). »

« Une fois qu’il a infecté l’ordinateur de la victime, le logiciel malveillant reste sur la machine (maintient la persistance), en partie en créant des clés de registre qui exécutent automatiquement l’application PlugX au démarrage de l’ordinateur », indique l’affidavit. « Les propriétaires d’ordinateurs infectés par le malware PlugX ne sont généralement pas au courant de l’infection. »

Cette action autorisée par le tribunal fait partie d’une opération de démantèlement mondiale menée par la société française d’application de la loi et de cybersécurité Sekoia. L’opération a débuté en juillet 2024, lorsque la police française et Europol ont supprimé le cheval de Troie d’accès à distance des appareils infectés en France.

« En août 2024, le ministère de la Justice et le FBI ont obtenu le premier des neuf mandats dans le district est de Pennsylvanie autorisant la suppression de PlugX des ordinateurs basés aux États-Unis », a déclaré aujourd’hui le ministère de la Justice.

« Le dernier de ces mandats a expiré en janvier. 3, 2025, concluant ainsi les parties américaines de l’opération. Au total, cette opération autorisée par le tribunal a supprimé les logiciels malveillants PlugX d’environ 4 258 ordinateurs et réseaux basés aux États-Unis. »

La commande envoyée aux ordinateurs infectés par le FBI a indiqué au malware PlugX:

  1. Supprimez les fichiers créés par le logiciel malveillant PlugX sur l’ordinateur de la victime,
  2. Supprimez les clés de registre Plug utilisées pour exécuter automatiquement l’application Plug au démarrage de l’ordinateur victime,
  3. Créez un fichier de script temporaire pour supprimer l’application Plug après son arrêt,
  4. Arrêtez l’application Plug et
  5. Exécutez le fichier temporaire pour supprimer l’application PlugX, supprimez le répertoire créé sur l’ordinateur victime par le logiciel malveillant PlugX pour stocker les fichiers PlugX et supprimez le fichier temporaire de l’ordinateur victime.

Le FBI avise maintenant les propriétaires d’ordinateurs basés aux États-Unis qui ont été nettoyés de l’infection PlugX par l’intermédiaire de leurs fournisseurs de services Internet et affirme que l’action n’a recueilli aucune information sur les appareils désinfectés ni n’a eu d’impact de quelque manière que ce soit.

La société de cybersécurité Sekoia avait précédemment découvert un botnet d’appareils infectés par la même variante PlugX, prenant le contrôle de son serveur de commande et de contrôle (C2) à 45.142.166[.]112 en avril 2024. Sekoia a déclaré que, sur six mois, le serveur C2 du botnet recevait quotidiennement jusqu’à 100 000 pings d’hôtes infectés et disposait de 2 500 000 connexions uniques provenant de 170 pays.

PlugX est utilisé dans des attaques depuis au moins 2008, principalement dans des opérations de cyberespionnage et d’accès à distance par des groupes liés au ministère chinois de la Sécurité d’État. Plusieurs groupes de menaces l’ont utilisé pour cibler le gouvernement, la défense, la technologie et les organisations politiques, principalement en Asie et plus tard dans le reste du monde.

Certains constructeurs de PlugX ont également été détectés en ligne, et certains chercheurs en sécurité pensent que le code source du malware a fui vers 2015. Ceci, combiné aux multiples mises à jour de l’outil, rend très difficile l’attribution du développement et de l’utilisation du malware dans les attaques à un acteur ou un agenda de menace spécifique.

Le malware PlugX dispose de fonctionnalités étendues, notamment la collecte d’informations système, le téléchargement et le téléchargement de fichiers, la journalisation des frappes au clavier et l’exécution de commandes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *