Le 18 juillet 2023, les autorités judiciaires françaises, en partenariat avec Europol, ont lancé une opération ambitieuse visant à débarrasser les systèmes compromis du malware PlugX. Cette initiative, surnommée "opération de désinfection", promet de s'étendre sur plusieurs mois et vise à protéger les utilisateurs des dangers de ce cheval de Troie d'accès à distance (RAT).
Contexte et Objectifs de l'Opération
L'objectif principal de cette opération est de nettoyer les systèmes infectés par PlugX, un malware sophistiqué utilisé principalement par des acteurs de la menace liés à la Chine depuis 2008. PlugX, également connu sous le nom de Korplug, permet aux cybercriminels d'exécuter des commandes arbitraires, de télécharger et d'uploader des fichiers, d'énumérer des fichiers et de récolter des données sensibles sur les hôtes compromis. Le parquet de Paris a souligné que cette opération durerait "plusieurs mois" et qu'elle avait déjà bénéficié à une centaine de victimes en France, ainsi qu'à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche.
La découverte faite par Sekoia
Cette opération fait suite à une avancée significative réalisée par la société française de cybersécurité Sekoia. En septembre 2023, Sekoia a réussi à pirater un serveur de commande et de contrôle (C2) associé à PlugX en dépensant seulement 7 dollars pour acquérir l'adresse IP du serveur. Cette action a permis de révéler que près de 100 000 adresses IP publiques uniques envoyaient quotidiennement des requêtes PlugX à ce domaine.
Les Techniques Utilisées par PlugX
PlugX est souvent déployé sur des systèmes cibles à l'aide de techniques de chargement latéral de DLL, ce qui permet aux attaquants de charger des bibliothèques malveillantes au sein de processus légitimes. Cette méthode permet aux cybercriminels de dissimuler leurs activités et d'accéder à des fonctions système critiques sans éveiller les soupçons.
Origines et Évolution de PlugX
Initialement développé par Zhao Jibin (alias WHG), PlugX a évolué au fil du temps en différentes variantes. Selon Sekoia, "le constructeur PlugX a été partagé entre plusieurs systèmes d'intrusion, la plupart d'entre eux attribués à des sociétés écrans liées au ministère chinois de la Sécurité d'État". Cette évolution démontre la capacité des cybercriminels à adapter et à améliorer continuellement leurs outils pour échapper aux mesures de sécurité traditionnelles.
Impact et Répercussions de l'Opération
L'opération de désinfection en cours est une réponse proactive et coordonnée aux menaces posées par PlugX. Elle souligne l'importance de la coopération internationale dans la lutte contre la cybercriminalité. Les efforts conjoints des autorités françaises et d'Europol visent non seulement à protéger les victimes actuelles, mais aussi à dissuader les futurs attaquants et à renforcer la sécurité des infrastructures numériques.
L'opération de désinfection contre le malware PlugX représente une étape cruciale dans la lutte contre les menaces cybernétiques. Grâce à la collaboration entre les autorités judiciaires françaises, Europol et des entreprises de cybersécurité comme Sekoia, des progrès significatifs sont réalisés pour sécuriser les systèmes compromis et prévenir de futures attaques.