Los investigadores han descubierto un servidor de mando y control para una variante del malware PlugX, y en seis meses han observado más de 2,5 millones de conexiones desde direcciones IP únicas.
Desde el pasado mes de septiembre, el servidor ha recibido más de 90.000 peticiones diarias de hosts infectados en más de 170 países.
Desde septiembre de 2023, cuando Sekoia capturó la dirección IP única asociada al C2 en cuestión, ha registrado más de 2.495.297 direcciones IP únicas de 170 países interactuando con su sumidero.
Esta acción permitió a la empresa de seguridad analizar el tráfico, cartografiar las infecciones, prevenir la explotación maliciosa de los clientes y elaborar planes de desinfección eficaces.
Tomar el control del servidor PlugX
Los investigadores de la empresa de ciberseguridad Seqoia gastaron 7 dólares en adquirir la dirección IP 45.142.166[.]112 correspondiente a un servidor de mando y control (C2) de una variante del malware PlugX que el actor de la amenaza ya no utiliza.
La dirección IP C2 se mencionaba en un informe de Sophos de marzo de 2023 sobre una nueva versión de PlugX que se había extendido a «lugares de casi medio mundo». El malware ya había adquirido capacidades de autodistribución a través de dispositivos USB.
Después de que Seqoia se pusiera en contacto con la empresa de alojamiento y solicitara el control de la IP, los investigadores obtuvieron acceso shell a un servidor que utilizaba la IP.
Se configuró un servidor web sencillo para imitar el comportamiento del servidor C2 original, lo que permitió a los analistas capturar peticiones HTTP de hosts infectados y observar variaciones en el flujo.
La operación «sumidero» reveló que entre 90.000 y 100.000 sistemas enviaban peticiones diariamente y que, en un periodo de seis meses, más de 2,5 millones de direcciones IP únicas se conectaban al servidor desde todo el mundo.
Aunque el gusano se ha extendido a 170 países, sólo 15 de ellos representan más del 80% del número total de infecciones, encabezando la lista Nigeria, India, China, Irán, Indonesia, Reino Unido, Irak y Estados Unidos.
Los investigadores señalan que PlugX C2 no tiene un identificador único, lo que hace poco fiable el recuento de hosts infectados:
- varias estaciones de trabajo comprometidas pueden salir a través de la misma dirección IP
- debido al direccionamiento IP dinámico, un sistema infectado puede conectarse con varias direcciones IP
- muchas conexiones se realizan a través de servicios VPN, lo que puede hacer que el país de origen sea irrelevante
Según Sekoia, la victimología podría indicar un interés estratégico desde el punto de vista de China, ya que la mayoría de las infecciones se observan en países que participan en la estrategia global de desarrollo de infraestructuras de la iniciativa china Belt and Road.
Sin embargo, los investigadores señalan que, aunque esta conclusión es plausible, «debe tomarse con cautela, ya que, tras cuatro años de actividad, ha tenido tiempo de propagarse por todas partes».
Aunque PlugX se asoció inicialmente con operaciones patrocinadas por el Estado de origen chino, el malware se ha convertido en una herramienta común a lo largo de los años y ha sido utilizado por una variedad de actores de amenazas, algunos de los cuales están involucrados en actividades con motivación financiera, como el ransomware.
Los retos de la desinfección
Sekoia ha formulado dos estrategias para limpiar los ordenadores que llegan a su abismo y ha hecho un llamamiento a los equipos nacionales de ciberseguridad y a las fuerzas del orden para que se unan al esfuerzo de desinfección.
El primer método consiste en enviar el comando de autodestrucción admitido por PlugX, que debería eliminarlo de los ordenadores sin más.
Sin embargo, aunque el malware se elimine del host, sigue existiendo riesgo de reinfección, ya que el malware se propaga en dispositivos USB y no es posible limpiarlos de esta forma.
Un método más complejo consiste en desarrollar y desplegar una carga útil personalizada en las máquinas infectadas para eliminar PlugX tanto del sistema como de cualquier memoria USB infectada conectada a él.
La empresa de ciberseguridad se ha ofrecido a facilitar a los CERT nacionales la información necesaria para llevar a cabo una «desinfección soberana» con el fin de evitar las complejidades legales asociadas al envío de comandos a estaciones de trabajo ajenas.
Sea cual sea el método utilizado, Sekoia señala que las redes de aire comprimido ya afectadas por PlugX están fuera de su alcance, al igual que las memorias USB infectadas que no están enchufadas.
Los investigadores de Sequia afirman que la botnet construida con la versión sinkholed de PlugX puede considerarse «muerta», ya que los operadores del malware ya no tienen control sobre ella.
No obstante, «cualquiera con capacidades de interceptación» o capaz de tomar el control del servidor C2 puede revivirlo con fines maliciosos enviando comandos arbitrarios a un host infectado.
Historia de PlugX
PlugX lleva utilizándose al menos desde 2008, principalmente como parte de operaciones de espionaje y acceso remoto llevadas a cabo por grupos vinculados al Ministerio de Seguridad del Estado chino. Ha sido utilizado por numerosos grupos de atacantes, a menudo dirigidos contra organizaciones gubernamentales, de defensa, tecnológicas y políticas, principalmente en Asia, antes de extenderse a Occidente.
Con el tiempo, han aparecido constructores de PlugX en el espacio público y algunos investigadores creen que el código fuente del malware se filtró alrededor de 2015. Esto y el hecho de que la herramienta ha recibido numerosas actualizaciones hacen difícil atribuir PlugX a un actor o programa específico.
El malware tiene amplias capacidades, como ejecutar comandos, cargar y descargar archivos, registrar pulsaciones de teclas y acceder a información del sistema.
Una variante reciente de PlugX incluye un componente de gusano, que le permite propagarse de forma autónoma infectando unidades extraíbles como memorias USB, pudiendo alcanzar sistemas protegidos por conductos de aire.