Entradas Mensuales
Síguenos en:
Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El FBI elimina el malware chino PlugX en 4.250 ordenadores infectados en Estados Unidos


El Departamento de Justicia de EE. UU. ha anunciado que una operación realizada por el FBI permitió eliminar el malware PlugX de más de 4.250 ordenadores infectados en una operación que se extendió durante varios meses.




  • Actores maliciosos Chinos "Mustang Panda" y "Twill Typhoon"

PlugX, también conocido como Korplug, es un troyano de acceso remoto (RAT) utilizado por delincuentes asociados con la República Popular China. Este malware permite el robo de información y el control remoto de dispositivos comprometidos.

Según el FBI, la variante de PlugX identificada, está vinculada a un grupo de delincuentes patrocinado por China llamado “Mustang Panda”, “Bronze President“ o TA416 entre otras denominaciones. Desde al menos 2014, este grupo se ha infiltrado en miles de sistemas informáticos en campañas dirigidas a víctimas en EE. UU., así como a gobiernos y empresas en Europa y Asia, y a grupos disidentes chinos.


La operación de desinfección comenzó a finales de julio de 2024, cuando el FBI, en colaboración con las autoridades francesas, cuando se tomó el control de un servidor de comando y control utilizado por el malware. A través de este servidor, el FBI envió comandos para que el malware se autodestruyera en los ordenadores infectados, eliminando así archivos y claves de registro asociados con PlugX sin afectar las funciones o archivos legítimos de los dispositivos.

PlugX es conocido por propagarse a otros sistemas a través de dispositivos USB conectados, infectando unidades extraíbles y ocultando sus archivos maliciosos para evitar la detección. Una vez instalado, el malware se comunica con un servidor controlado por los atacantes para recibir comandos y recopilar datos del host.

Según los documentos judiciales, la lista de víctimas a las que se dirige este malware incluye «compañías navieras europeas en 2024, varios gobiernos europeos de 2021 a 2023, grupos disidentes chinos de todo el mundo y gobiernos de todo el Indo-Pacífico (por ejemplo, Taiwán, Hong Kong, Japón, Corea del Sur, Mongolia, India, Myanmar, Indonesia, Filipinas, Tailandia, Vietnam y Pakistán)».

«Una vez que ha infectado el ordenador de la víctima, el malware permanece en la máquina (mantiene la persistencia), en parte mediante la creación de claves de registro que ejecutan automáticamente la aplicación PlugX cuando se inicia el ordenador», se lee en la declaración jurada. «Los propietarios de ordenadores infectados por el malware PlugX no suelen ser conscientes de la infección».

Esta acción autorizada por los tribunales forma parte de una operación mundial de desmantelamiento dirigida por las fuerzas de seguridad francesas y la empresa de ciberseguridad Sekoia. La operación comenzó en julio de 2024, cuando la policía francesa y Europol eliminaron el malware troyano de acceso remoto de los dispositivos infectados en Francia.

«En agosto de 2024, el Departamento de Justicia y el FBI obtuvieron la primera de nueve órdenes judiciales en el Distrito Este de Pensilvania que autorizaban la eliminación de PlugX de ordenadores con sede en Estados Unidos», ha informado hoy el Departamento de Justicia.

«La última de estas órdenes expiró el 3 de enero de 2025, concluyendo así la parte estadounidense de la operación. En total, esta operación autorizada por los tribunales eliminó el malware PlugX de aproximadamente 4.258 ordenadores y redes con base en Estados Unidos.»


La orden enviada a los ordenadores infectados por el FBI al malware PlugX:


  •     Eliminar los archivos creados por el malware PlugX en el ordenador de la víctima,
  •     Eliminar las claves de registro de PlugX utilizadas para ejecutar automáticamente la aplicación PlugX al iniciar el ordenador de la víctima,
  •     Crear un archivo de script temporal para eliminar la aplicación PlugX después de detenerla,
  •     Detener la aplicación PlugX y
  •     Ejecutar el archivo temporal para eliminar la aplicación PlugX, eliminar el directorio creado en el ordenador víctima por el malware PlugX para almacenar los archivos PlugX, y eliminar el archivo temporal del ordenador víctima.


El FBI está notificando ahora a los propietarios de ordenadores con sede en EE.UU. que han sido limpiados de la infección PlugX a través de sus proveedores de servicios de Internet y afirma que la acción no recopiló información de los dispositivos desinfectados ni les afectó en modo alguno.

La empresa de ciberseguridad Sekoia descubrió anteriormente una botnet de dispositivos infectados con la misma variante de PlugX, tomando el control de su servidor de mando y control (C2) en 45.142.166[.]112 en abril de 2024. Sekoia afirmó que, a lo largo de seis meses, el servidor C2 de la botnet recibió hasta 100.000 pings diarios de hosts infectados y tuvo 2.500.000 conexiones únicas procedentes de 170 países.

PlugX se ha utilizado en ataques desde al menos 2008, principalmente en operaciones de ciberespionaje y acceso remoto por parte de grupos vinculados al Ministerio de Seguridad del Estado chino. Múltiples grupos de amenazas lo han utilizado para atacar organizaciones gubernamentales, de defensa, tecnológicas y políticas, principalmente en Asia y posteriormente expandiéndose al resto del mundo.

También se han detectado en Internet algunos creadores de PlugX, y algunos investigadores de seguridad creen que el código fuente del malware se filtró alrededor de 2015. Esto, combinado con las múltiples actualizaciones de la herramienta, hace que sea muy difícil atribuir el desarrollo del malware y su uso en ataques a un actor o programa de amenazas específico.

El malware PlugX cuenta con numerosas funciones, como recopilar información del sistema, cargar y descargar archivos, registrar pulsaciones de teclas y ejecutar comandos.

Más información:

Vía:


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.