Une opération conjointe internationale a permis de neutraliser PlugX, un logiciel malveillant redouté depuis 2008, conçu pour contrôler à distance des machines infectées. Cette initiative de l’équipe Mustang Panda, financée par les autorités chinoises, a mis un terme à une menace persistante contre des milliers d’ordinateurs à travers le monde.
Le ministère de la Justice et le FBI ont récemment annoncé une opération de plusieurs mois qui a permis de démanteler une déclinaison de la famille de logiciels malveillants PlugX. Cet outil malveillant a été développé par une équipe de hackers connue sous le nom de « Mustang Panda« , selon le FBI, avec l’ensemble de l’opération parrainée et financée par les autorités chinoises. Le logiciel malveillant était conçu pour infiltrer, infecter et contrôler des milliers de PC et de réseaux à travers le monde.
Mustang Panda est actif depuis au moins 2014, selon l’affidavit récemment dévoilé par le FBI. Le groupe ciblait des organisations gouvernementales et des entreprises privées basées aux États-Unis, en Europe et en Asie, ainsi que quelques groupes de dissidents chinois. Les propriétaires des systèmes infectés par PlugX sont généralement inconscients de l’infection en cours, ce qui explique pourquoi la récente opération d’autodestruction a porté un coup significatif à cette menace.
Les agences américaines ont s’appuyé sur leur partenariat avec les autorités judiciaires françaises et la société de cybersécurité basée en France Sekoia.io. Les chercheurs de Sekoia ont réussi à découvrir une fonctionnalité cachée dans le code de PlugX, capable de recevoir une instruction « d’autodestruction » de son serveur de commandement et de contrôle (C2). L’adresse IP du C2 était codée en dur dans le logiciel malveillant, permettant ainsi au FBI de saisir efficacement l’ensemble du système.
La famille de Trojan d’accès à distance PlugX est connue pour sa capacité étendue à exécuter des commandes provenant de serveurs C2 distants. Les cybercriminels peuvent extraire facilement des informations pertinentes sur les machines infectées, capturer l’écran, envoyer des événements de clavier et de souris, redémarrer le système, gérer des services et le registre de Windows, et bien plus encore.
À partir d’août 2024, le FBI et le ministère de la Justice ont obtenu neuf mandats nécessaires pour organiser l’opération d’autodestruction de PlugX. Le juge a autorisé la suppression de l’infection PlugX sur environ 4 258 PC Windows et réseaux basés aux États-Unis, et l’opération a été achevée plus tôt ce mois-ci.
De plus, le FBI a contacté les véritables victimes américaines du logiciel malveillant RAT via leurs fournisseurs d’accès à Internet. Selon Jacqueline Romero, procureure des États-Unis pour le district est de Pennsylvanie, cette infection à long terme par PlugX, impliquant des milliers d’ordinateurs, démontre à quel point les hackers soutenus par les chinois sont imprudents et agressifs. Les autorités américaines ont réussi à faire face à cette menace grâce à une approche internationale de type « société entière » pour protéger la cybersécurité des États-Unis.