Une récente opération judiciaire a permis à l’agence fédérale américaine de supprimer un malware chinois, PlugX, affectant plus de 2,5 millions d’appareils. Cette initiative souligne l’importance cruciale de la cybersécurité, notamment face aux menaces perpétrées par des groupes de hackers sponsorisés par l’État, tels que Mustang Panda.
Un malware provenant de Chine a désormais été contenu après que le FBI a obtenu un ordre judiciaire pour faire supprimer le code nuisible de milliers d’ordinateurs sous Windows.
L’agence a réussi à mettre fin au règne du malware PlugX aux États-Unis, qui a affecté plus de 2,5 millions d’appareils dans le monde en s’infiltrant via des clés USB infectées, a noté PCMag.
En collaboration avec le FBI, le Ministère de la Justice a confirmé qu’il avait reçu l’autorisation judiciaire de supprimer le malware de près de 4 260 ordinateurs et réseaux aux États-Unis, mardi. Avec cette résolution annoncée, le FBI est sur le point d’informer les propriétaires des machines infectées via leurs fournisseurs d’accès Internet.
Ceci n’est qu’un exemple d’intervention des départements fédéraux pour contrôler un risque sérieux en cybersécurité. Cependant, sa résolution souligne l’importance de la recherche continue en cybersécurité. Le Ministère de la Justice a détaillé que les acteurs derrière l’attaque sont un groupe privé de hackers sponsorisés par l’État chinois, nommé “Mustang Panda”, qui a développé une version unique du malware PlugX pour cette mission.
PlugX est apparu pour la première fois en 2008 lorsqu’il a été utilisé comme une vulnérabilité d’accès arrière permettant à des acteurs malveillants de contrôler secrètement des machines Windows. D’ici 2020, le malware a été mis à jour pour permettre son infiltration dans des clés USB ainsi que des PC connectés. Ce dernier est décrit comme un malware «wormable» qui peut se transférer entre ordinateurs via des périphériques infectés.
Le fournisseur de cybersécurité français Sekoia a observé que Mustang Panda manquait finalement de ressources pour supporter le nombre de machines infectées par le malware PlugX et a finalement abandonné le projet.
De même, le fournisseur d’antivirus Sophos a observé plusieurs infections PlugX provenant d’une seule adresse IP source. En septembre 2023, en collaborant avec Sekoia, le fournisseur de cybersécurité a dépensé seulement 7 € pour accéder à l’adresse IP et aux machines infectées. Des recherches ultérieures ont révélé une commande de désinstallation automatique dans le code de PlugX.
En juillet 2024, les forces de l’ordre en France ont autorisé l’utilisation du mécanisme d’auto-suppression pour remédier aux machines infectées. Depuis lors, 22 autres pays ont également emboîté le pas.
Bien qu’il ne soit pas clair comment les entités américaines prévoient de supprimer le malware des PC domestiques, le FBI a témoigné dans une déclaration sous serment qu’il a testé cette commande d’auto-suppression, confirmant qu’elle n’élimine que le malware et n’affecte aucune autre fonction des appareils ni ne transfère d’autres codes non autorisés.