PlugX está madurando

Hace poco se descubrió una nueva Herramienta de Administración Remota que comenzó a aparecer aquí y allá en ataques dirigidos. Esta herramienta se llama “PlugX”. Los investigadores han rastreado a un sospechoso de haber creado el malware, un miembro del grupo de hackers chino NCPH, que se supone que está al servicio del Ejército Popular de Liberación. Entre otras cosas, se acusa a este grupo de atacar a organizaciones estadounidenses de alto perfil.

Pero PlugX se detectó en ataques dirigidos no sólo contra el ejército, el gobierno y organizaciones políticas, también se encontraron ataques contra compañías relativamente ordinarias. Y esto es raro. Sin importar si los atacantes fueron contratados o trabajan por su cuenta, si tienden a atacar a organizaciones/personas “serias”, ¿por qué tienen objetivos tan diversos (compañías inofensivas)? No encontramos ningún sitio en el que esta herramienta (o, mejor dicho, este paquete o builder) esté en oferta para otros cibercriminales, así que no podemos confirmar si PlugX se ha compartido entre comunidades de cibercriminales u otros atacantes potenciales (aunque no podemos descartar la posibilidad).

Por nuestra parte, detectamos ataques que usaban esta herramienta contra una empresa que no tiene nada que ver con el ejército, política, infraestructura crítica ni nada por el estilo. Esta compañía ha recibido un bombardeo de correos dirigidos durante un mes, en los que los criminales trataban de engañarlos para que descargaran los archivos adjuntos que contenían esta versión del programa PlugX. Los primeros ejemplares fueron del mismo tipo que se describió, es decir, algún tipo de versión depurada con muchos registros de posibles errores en un archivo bug.log. Pero hace varios días los atacantes enviaron un montón de correos electrónicos con una nueva versión de PlugX. Esta versión difiere de la anterior en su actividad de registro. El escritor de virus eliminó casi todas las líneas de código para procesar los posibles errores de la versión antigua. La siguiente imagen representa los lugares en los que se invocó a la función de registro en la vieja versión del código PlugX:

Y esto es lo que queda:

El tipo de cambios realizados demuestra que antes el autor no estaba seguro de si la ejecución procedería sin errores, pero ya confía en que el código fluye correctamente.

Desaparecieron de los binarios todas las cadenas de caracteres relacionadas con el código fuente del módulo con la forma ?<modulename>.cpp’. Y el texto que hace referencia a la ruta del proyecto, como
?d:workplug4.0(nvsmart)(sxl)shellcodeshellcodeXSetting.h’, también se ha eliminado.

Una parte del código PlugX que se vio en ejemplares previos especifica que el programa es una versión “demo”, o una versión de prueba. Es interesante que este código se mantenga en la nueva versión. Pero esto no significa nada: los ejemplares de PlugX que analizamos mostraron que los ITW no son muy “demostrativos”, aunque esta parte del código así lo “diga”: son herramientas de administración remota, maliciosas, funcionales y de ataque.

Llegamos a la conclusión de que el proyecto PlugX sigue en proceso. Y acaba de subir un escalón en su progreso. Aunque los atacantes no dudaron en usar la versión depurada en campañas dirigidas anteriores, la versión depurada ya está completa y está circulando una versión mayor. También podemos asumir que los atacantes han tenido éxito infectando a sus víctimas y probando la nueva versión de su herramienta para poder seguir desarrollándola. Pero, a decir verdad, no nos entusiasma conocer la próxima versión.