In un'operazione coordinata dalla polizia francese e da Europol, per ripulire tutti i PC infetti da PlugX è stato progettato un payload che fa autodistruggere il malware. L'operazione è stata gestita dal Centre de lutte contre les criminalités numériques (C3N) della Gendarmerie Nationale con il supporto della società di cybersecurity francese Sekoia, che ha preso il controllo di un server di comando e controllo per una variante di PlugX diffusa lo scorso aprile.
PlugX è un Trojan per l'accesso remoto ampiamente utilizzato da diversi gruppi di cybercriminali cinesi, che continuano a modificarlo e rilasciarlo secondo le necessità delle loro campagne malevoli. Sekoia aveva precedentemente identificato una botnet alimentata da questo malware che si diffondeva tramite unità USB, e che è rimasta attiva anche dopo essere stata abbandonata dal suo operatore originale, infettando quasi 2,5 milioni di dispositivi.
Attacco e controllo della botnet
Dopo aver preso il controllo dei server di comando e controllo, Sekoia ha impedito l'utilizzo della botnet per inviare comandi ai dispositivi infetti. In questo modo la minaccia è stata neutralizzata, ma il malware è rimasto attivo sui sistemi, incrementando il rischio di una sua eventuale riattivazione da parte di altri attori malevoli.
Per rispondere a questa minaccia, Sekoia ha proposto una soluzione di pulizia che consiste nell'utilizzo di un plugin personalizzato per PlugX, mandato ai dispositivi infetti per impartire un comando di autodistruzione del malware. Il problema di questa soluzione è il potenziale danneggiamento delle unità USB e la possibile perdita di accesso ai file legittimi, un rischio che ha spinto Sekoia a collaborare con le autorità legali per una gestione cautelata dell'operazione.
Con l'inizio delle Olimpiadi di Parigi 2024, le autorità francesi stanno prestando particolare attenzione alla cybersecurity. La presenza di PlugX su 3.000 sistemi francesi è stata ritenuta inaccettabile dalle autorità, motivo per cui è stata avviata questa campagna, che ha coinvolto anche Malta, Portogallo, Croazia, Austria e la Repubblica Slovacca. L'operazione andrà avanti fino alla fine del 2024.