Il Dipartimento di Giustizia degli Stati Uniti ha comunicato che è stata interrotta una campagna di cyberspionaggio in corso da molti anni. Dopo aver ottenuto l’autorizzazione dal giudice, l’FBI ha rimosso il malware PlugX da migliaia di computer. Una simile operazione era stata eseguita dalle autorità francesi a luglio 2024.
PlugX è l’ennesimo malware cinese
PlugX (noto anche come Sogu o Korplug) è un RAT (Remote Access Trojan) che infetta i computer Windows tramite drive USB. I dati raccolti vengono inviati al server C2C (command and control) quando la vittima collega il drive ad un dispositivo connesso ad Internet. I cybercriminali possono inoltre accedere da remoto ed eseguire comandi.
PlugX viene utilizzato da oltre 10 anni per campagne di cyberspionaggio contro aziende e governi di numerosi paesi. Gli attacchi sono stati effettuati dal gruppo Mustang Panda (noto anche come Twill Typhoon) finanziato dal Partito Comunista Cinese. Il malware era rimasto sui computer di molte vittime e veniva eseguito ad ogni riavvio grazie ad una chiave aggiunta al registro.
L’operazione internazionale è stata guidata dalle autorità francesi e da Sekoia (azienda francese di cybersicurezza) che ha scoperto la possibilità di inviare comandi per cancellare PlugX. Dopo aver testato l’efficacia dei comandi e ottenuto il permesso dal giudice, l’FBI ha rimosso il malware da 4.258 computer negli Stati Uniti.
Gli utenti interessati verranno informati dai rispettivi provider Internet. Durante la “pulizia” non è stato alterato il funzionamento del sistema operativo o delle applicazioni e non è stato raccolto nessun dato personale.