Les autorités judiciaires françaises, en collaboration avec Europol, ont lancé une « opération de désinfection » pour débarrasser les hôtes compromis d’un malware connu appelé PlugX.
Le Parquet de Paris a indiqué que l’initiative avait été lancée le 18 juillet et qu’elle devrait se poursuivre pendant « plusieurs mois ».
Une centaine de victimes situées en France, à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche ont déjà bénéficié des efforts de nettoyage.
Ce développement intervient près de trois mois après que la société française de cybersécurité Sekoia a révélé avoir découvert un serveur de commande et de contrôle (C2) lié au cheval de Troie PlugX en septembre 2023 en dépensant 7 $ pour acquérir l’adresse IP. Il a également noté que près de 100 000 adresses IP publiques uniques envoyaient quotidiennement des requêtes PlugX au domaine saisi.
PlugX (alias Korplug) est un cheval de Troie d’accès à distance (RAT) largement utilisé par les acteurs des menaces liées à la Chine depuis au moins 2008, aux côtés d’autres familles de logiciels malveillants comme Gh0st RAT et ShadowPad.
Le malware est généralement lancé sur des hôtes compromis à l’aide de techniques de chargement latéral de DLL, permettant aux acteurs malveillants d’exécuter des commandes arbitraires, de télécharger/télécharger des fichiers, d’énumérer des fichiers et de récolter des données sensibles.
“Cette porte dérobée, initialement développée par Zhao Jibin (alias WHG), a évolué au fil du temps dans différentes variantes”, a déclaré Sekoia plus tôt en avril. “Le constructeur PlugX a été partagé entre plusieurs ensembles d’intrusions, la plupart attribués à des sociétés écran liées au ministère chinois de la Sécurité d’État.”
Au fil des années, il a également incorporé un composant vermifuge qui lui permet de se propager via des clés USB infectées, contournant ainsi efficacement les réseaux isolés.
Sekoia, qui a conçu une solution pour supprimer PlugX, a déclaré que les variantes du malware avec le mécanisme de distribution USB sont accompagnées d’une commande d’auto-suppression (« 0x1005 ») pour se supprimer des postes de travail compromis, bien qu’il n’existe actuellement aucun moyen de le supprimer. les périphériques USB eux-mêmes.
“Premièrement, le ver a la capacité d’exister sur des réseaux isolés, ce qui rend ces infections hors de notre portée”, a-t-il déclaré. “Deuxièmement, et c’est peut-être plus remarquable, le ver PlugX peut résider sur des périphériques USB infectés pendant une période prolongée sans être connecté à un poste de travail.”
Compte tenu des complications juridiques liées à l’effacement à distance des logiciels malveillants des systèmes, la société a en outre indiqué qu’elle renvoyait la décision aux équipes nationales d’intervention en cas d’urgence informatique (CERT), aux organismes chargés de l’application de la loi (LEA) et aux autorités de cybersécurité.
“Suite à un signalement de Sekoia.io, une opération de désinfection a été lancée par les autorités judiciaires françaises pour démanteler le botnet contrôlé par le ver PlugX. PlugX a fait plusieurs millions de victimes dans le monde”, a déclaré Sekoia à The Hacker News. “Une solution de désinfection développée par l’équipe Sekoia.io TDR a été proposée via Europol aux pays partenaires et est en cours de déploiement.”
« Nous nous félicitons de la fructueuse coopération avec les acteurs impliqués en France (section J3 du Parquet de Paris, Police, Gendarmerie et ANSSI) et à l’international (Europol et polices des pays tiers) pour lutter contre les cybermalveillance de longue durée. activités.”