GETOVERX FORUM Community Support   ›   Malware Docs   ›   Backdoors   ›   BACKDOOR – PlugX

  • 1 Vote(s) - 4 Average
  • 1
  • 2
  • 3
  • 4
  • 5
BACKDOOR – PlugX
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:39 PM (This post was last modified: 12-07-2025, 04:32 PM by mrwebfeeder.)
Nombre: PlugX / Korplug

Categoría: Backdoor

Usado por: APT10, APT41 (entre otros grupos APT de origen principalmente asiático)

Descripción general:
PlugX (también conocido como Korplug) es un backdoor avanzado utilizado en campañas de ciberespionaje dirigidas. Se distribuye normalmente a través de spear-phishing, explotación de vulnerabilidades en servicios expuestos y cadenas de infección con otros malware. Una vez instalado, ofrece control remoto casi completo del sistema comprometido y capacidades de exfiltración sigilosa de datos.

Comportamiento (lo que hace y archivos que afecta):
  • Control remoto completo:
    - Permite a los operadores:
    - Ejecutar comandos.
    - Gestionar archivos (subir, descargar, borrar, ejecutar).
    - Enumerar procesos, servicios y recursos de red.
    - Instalar módulos adicionales según la campaña.
  • Exfiltración sigilosa:
    - Roba documentos, credenciales y datos de interés de forma discreta.
    - Utiliza canales de comunicación cifrados o disfrazados para enviar la información al C2.
    - Puede limitar el volumen y la frecuencia de exfiltración para evitar levantar sospechas.
  • Abuso de DLL sideloading:
    - Se apoya en la técnica de DLL sideloading:
    - Coloca una DLL maliciosa junto a un ejecutable legítimo que carga esa DLL por nombre.
    - El ejecutable confiable (por ejemplo, firmado por un proveedor conocido) actúa como “contenedor” del backdoor.
    - Esto permite:
    - Elevar confianza (ya que el proceso visible es legítimo).
    - Evadir algunas detecciones basadas en reputación de binarios.
- Archivos afectados:
- Ejecutables legítimos usados como “host” para el sideloading.
- DLL maliciosas ubicadas en el mismo directorio que el ejecutable legítimo.
- Ficheros de configuración y logs internos de PlugX almacenados en rutas de usuario o sistema.

Persistencia (comportamiento típico):
  • Accesos directos, claves de Registro o tareas programadas que:
    - Lanzan el ejecutable legítimo que a su vez carga la DLL maliciosa.
  • Copias del conjunto “EXE legítimo + DLL maliciosa” en:
    - Directorios de programa o rutas de usuario con nombres que imitan software corporativo.
  • En algunos casos, servicios configurados para iniciar el binario legítimo portador de la DLL.

Hash real de referencia (SHA-256):
Muestra pública asociada a PlugX / Korplug:
Code:
9d97d93c71ec944f7ea27aeadb3c40c21569822fab9b593d869d651d4d77ecb4

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Bloqueo de DLL sideloading sospechoso:
    - Restringir:
    - Carga de DLL desde directorios de usuario o rutas no estándar cuando el ejecutable está firmado pero la DLL no.
    - Generar alertas cuando:
    - Un EXE legítimo cargue una DLL desconocida/no firmada desde el mismo directorio.
    - Opcional:
    - Crear reglas específicas para aplicaciones críticas, definiendo listas de DLL permitidas.

  • EDR – Detección de backdoor y exfiltración:
    - Monitorizar:
    - Procesos que:
    - Mantienen conexiones de red persistentes hacia IPs/Dominios poco habituales.
    - Ejecutan comandos del sistema y enumeran recursos de forma automatizada.
    - Acceso repetido a documentos sensibles seguido de tráfico de salida anómalo.
    - Configurar respuesta:
    - Marcar el host como bajo sospecha de backdoor.
    - Permitir aislamiento de red del equipo para cortar el C2.

  • Firewall – Bloqueo de comunicación C2:
    - Limitar:
    - Conexiones salientes desde estaciones y servidores a sólo destinos necesarios (modelo de allowlist).
    - Bloquear:
    - Dominios/IPs asociados a PlugX/Korplug conocidos por threat intel.
    - Canales cifrados no estándar originados desde procesos no aprobados.
    - Registrar:
    - Conexiones anómalas de largo tiempo de vida desde procesos que aparentan ser apps legítimas pero que no deberían comunicar a Internet.

  • Antivirus / Sandbox – Detección de loaders y paquetes PlugX:
    - Mantener firmas AV y reglas YARA orientadas a:
    - DLL maliciosas usadas por PlugX.
    - Plantillas típicas de ejecutables “host” empaquetados junto con la DLL.
    - Analizar en Sandbox:
    - Paquetes de instalación, ejecutables “legítimos” recién llegados (por ejemplo, de correo o USB) que traigan DLLs adjuntas.
    - Bloquear despliegue si:
    - El EXE legítimo carga DLLs adicionales no esperadas.
    - Se observa patrón de C2 y exfiltración durante el análisis.

  • Medidas adicionales recomendadas:
    - Auditoría periódica de:
    - Directorios de programas donde se encuentren pares “EXE legítimo + DLL desconocida”.
    - Tareas programadas y claves de inicio que lancen ejecutables fuera de rutas estándar.
    - Refuerzo de políticas:
    - Descarga e instalación de software únicamente desde repositorios/verificadores corporativos.
    - Revisión de herramientas utilizadas en soporte remoto o por terceros, ya que PlugX suele aparecer en campañas APT muy dirigidas.

Notas opcionales:
- El uso frecuente de PlugX por grupos APT como APT10 y APT41 lo convierte en indicador de posibles operaciones de espionaje avanzadas, por lo que su detección debe tratarse como incidente de alta criticidad.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)