Un’operazione internazionale ha portato alla rimozione del malware PlugX da oltre 4.200 computer infetti negli Stati Uniti. La collaborazione tra Sekoia.io, le forze dell’ordine francesi e l’Fbi ha permesso di sfruttare un meccanismo di autocancellazione del trojan, sviluppato dal gruppo Mustang Panda sostenuto dal governo cinese
Un’operazione internazionale, condotta dalle forze dell’ordine francesi e da una società privata francese, Sekoia.io, ha portato l’Fbi a utilizzare il meccanismo di autocancellazione del malware PlugX, rimuovendo da oltre 4.200 computer infetti negli Stati Uniti un trojan di accesso remoto sviluppato dalla cyber-gang Mustang Panda sostenuta economicamente dal governo cinese. Un’operazione simile era stata portata a termine dalle autorità francesi a luglio 2024.
PlugX è un malware cinese, anche noto come Sogu o Korplug, classificato come un trojan di adesso remoto. Infetta i computer Windows tramite drive Usb. Quando la vittima collega il drive a un dispositivo connesso a Internet, i dati raccolti vengono inviati a un server di comando e controllo (C2C). Inoltre, i cybercriminali possono accedere da remoto al computer infetto ed eseguire comandi. PlugX è stato utilizzato per oltre dieci anni in campagne di cyberspionaggio contro aziende e governi dal gruppo Mustang Panda. Il malware rimaneva nei computer delle vittime e veniva eseguito a ogni riavvio grazie a una chiave aggiunta al registro di sistema. Sekoia.io ha scoperto un metodo per inviare comandi che permettevano di cancellare il malware. Dopo aver testato l’efficacia di questi comandi e ottenuto il permesso del giudice, l’FBI ha rimosso PlugX da 4.258 computer negli Stati Uniti.
“Questa operazione, come altre recenti operazioni tecniche contro gruppi di hacker cinesi e russi come Volt Typhoon, Flax Typhoon e APT28, è dipesa da forti partnership per contrastare con successo le attività informatiche dannose”, ha dichiarato Matthew G. Olsen, assistente procuratore generale degli Stati Uniti, della divisione sicurezza nazionale del dipartimento di Giustizia. “Esprimo il mio plauso ai partner del governo francese e del settore privato per aver guidato questa operazione internazionale a difesa della sicurezza informatica globale”, ha aggiunto.
L’elemento più innovativo dell’operazione è stato proprio il ruolo del settore privato. Tutto, infatti, è nato ad aprile, quando Sekoia.io ha diffuso dettagli sul malware e ha invitato i Cert nazionali e le forze dell’ordine a contattare la società per rimuoverlo. A seguito di questo appello, e con il supporto della Procura di Parigi e dell’Unità nazionale cibernetica della Gendarmeria francese, più di venti Paesi hanno risposto, “spingendoci a passare dalla teoria alla pratica”, ha dichiarato l’azienda in un post pubblicato il giorno di Santo Stefano.