O Federal Bureau of Investigation (FBI) concluiu com sucesso uma operação de meses para remover o malware PlugX, também conhecido como Korplug, de 4.250 computadores comprometidos. Essa ação foi parte de uma iniciativa global para combater a espionagem cibernética promovida por agentes vinculados à República Popular da China (RPC).
Malware PlugX e hackers associados
PlugX é um Trojan de acesso remoto (RAT) frequentemente associado ao grupo de hackers patrocinado pelo estado chinês conhecido como Mustang Panda. O grupo, também identificado como BASIN, HoneyMyte e outros codinomes, tem histórico de ataques contra sistemas governamentais e corporativos nos EUA, Europa e Ásia, além de grupos dissidentes chineses.
Desde 2014, o Mustang Panda tem liderado campanhas de hacking em países como Taiwan, Hong Kong, Japão, Índia e muitos outros. Essa variante do PlugX utiliza dispositivos USB como vetor de propagação, permitindo controle remoto de sistemas e roubo de informações sensíveis.
Como a operação foi realizada
A operação teve início em julho de 2024, quando autoridades dos EUA, em colaboração com o Gabinete do Promotor Público de Paris e a empresa de segurança cibernética Sekoia, começaram a mapear as atividades do malware.
A Sekoia identificou um servidor usado pelos hackers com o IP “45.142.166[.]112”. Por apenas US$ 7, a empresa conseguiu assumir o controle do servidor (sinkhole), permitindo o envio de um comando de autoexclusão para apagar o PlugX das máquinas infectadas.
Notícias Relacionadas
Ataques cibernéticos
Ataques de malware exploram vulnerabilidades em sites WordPress
Ataques de malware associados ao domínio wp3.xyz comprometeram mais de 5.000 sites WordPress, adicionando administradores desonestos e roubando dados confidenciais por meio de plugins maliciosos.
Ransomware AWS
Como o ransomware usa Amazon AWS para criptografar buckets S3
A nova campanha de ransomware Codefinger usa a criptografia SSE-C do Amazon S3, exigindo resgates por chaves AES-256. Descubra como o ataque funciona e como se proteger.
Detalhes da remoção
O comando executado seguiu as etapas abaixo:
- Remoção de arquivos do PlugX armazenados no computador.
- Exclusão de chaves de registro que permitiam a execução automática do malware.
- Criação de scripts temporários para excluir o aplicativo após sua interrupção.
- Encerramento do aplicativo PlugX e exclusão de diretórios criados pelo malware.
Impacto e resultados
O FBI confirmou que a remoção não impactou arquivos legítimos nos dispositivos afetados. Além disso, 59.475 comandos de desinfecção foram enviados a 5.539 endereços IP em 10 países, garantindo uma ampla limpeza de sistemas infectados.
O procurador-geral assistente Matthew G. Olsen destacou a gravidade da ameaça representada pelos hackers chineses:
“Essa infecção demonstra a imprudência e agressividade dos hackers patrocinados pelo estado da RPC.”
A operação marca um avanço significativo no combate ao cibercrime internacional, protegendo milhares de dispositivos contra espionagem e roubo de dados.
