Internet,  Software,  Tecnologia

L’FBI elimina il malware PlugX da oltre 4.000 con una operazione innovativa

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato il successo di un’operazione condotta dall’FBI per rimuovere il malware PlugX da migliaia di computer infetti sul territorio americano. L’intervento, autorizzato dal tribunale, ha portato all’eliminazione del malware da circa 4.258 computer e reti negli Stati Uniti.

cyber, security, hacker, computer, internet, technology, network, hacking, digital, protection, data, privacy, password, secure, information, hack, virus, spy, malware, business, blue virus, blue data, blue security, blue information, cyber, hacker, hacker, hacker, hacker, hacker, privacy, spy, spy, malware, malware, malware, malware, malware
Photo by TheDigitalArtist on Pixabay

Questa azione fa parte di una più ampia operazione internazionale volta a contrastare la diffusione di PlugX, un trojan ad accesso remoto (RAT) utilizzato da gruppi di hacker sponsorizzati dal governo cinese.

Origine e diffusione del malware PlugX

PlugX è un malware sofisticato in circolazione dal 2008, noto per la sua capacità di eludere i sistemi di sicurezza e fornire agli attaccanti un controllo completo sui sistemi infetti. Il malware è stato collegato a gruppi di minacce persistenti avanzate (APT) operanti dalla Cina, in particolare al gruppo noto come “Mustang Panda”.

Secondo i documenti del tribunale, il governo cinese avrebbe pagato Mustang Panda per sviluppare e distribuire questa specifica variante di PlugX. Dal 2014, gli hacker di Mustang Panda hanno infiltrato migliaia di sistemi informatici prendendo di mira vittime negli Stati Uniti, in Europa e in Asia, inclusi governi, aziende e gruppi dissidenti cinesi.

Meccanismo di infezione e capacità del malware

La variante di PlugX oggetto dell’operazione si diffonde attraverso le porte USB dei computer, infettando i dispositivi USB collegati e potenzialmente propagandosi ad altri computer Windows quando il dispositivo USB viene successivamente collegato.

Una volta installato, il malware rimane persistente sul sistema creando chiavi di registro che eseguono automaticamente l’applicazione PlugX all’avvio del computer. I proprietari dei computer infetti generalmente non sono consapevoli dell’infezione.

PlugX consente agli attaccanti di accedere e controllare remotamente i sistemi compromessi, rubare file, esplorare il file system, caricare, scaricare, spostare ed eliminare file. Il malware può anche comunicare con un server di comando e controllo (C2) quando il computer infetto si connette a Internet.

L’operazione internazionale di rimozione

L’operazione di rimozione è stata condotta in collaborazione con le autorità francesi e la società di cybersicurezza Sekoia.io. Gli investigatori hanno sfruttato una funzionalità di auto-eliminazione presente nel malware stesso per rimuoverlo dai sistemi infetti.

L’FBI ha ottenuto nove mandati di perquisizione e sequestro per autorizzare l’eliminazione del malware dai computer statunitensi. L’agenzia ha testato il comando di auto-eliminazione e ha verificato che non influisse sulle funzioni o sui file legittimi dei computer target.

L’operazione è iniziata nell’agosto 2024 e si è conclusa il 3 gennaio 2025. L’FBI sta ora notificando ai proprietari dei computer colpiti l’azione intrapresa, attraverso i loro provider di servizi Internet.

Impatto globale e collaborazione internazionale

L’operazione contro PlugX non si è limitata agli Stati Uniti. Sekoia.io ha guidato una campagna di disinfezione che ha coinvolto 10 paesi, in risposta a una chiamata pubblica per assistenza. In totale, 34 paesi hanno richiesto i log del sinkhole per identificare le reti compromesse, mentre 22 hanno espresso interesse per una disinfezione attiva.

La campagna ha utilizzato principalmente un approccio di auto-eliminazione semplice e meno intrusivo per mitigare i rischi. Questa collaborazione internazionale dimostra l’importanza di un approccio coordinato nella lotta contro le minacce informatiche globali.

Implicazioni per la cybersicurezza globale

Questa operazione evidenzia la crescente minaccia rappresentata dal malware sponsorizzato da stati nazionali e l’importanza della cooperazione internazionale nella cybersicurezza. L’azione dell’FBI dimostra la volontà e la capacità delle agenzie di applicazione della legge di adottare misure attive per garantire la sovranità informatica degli Stati Uniti.

L’incidente sottolinea anche la necessità per individui e organizzazioni di mantenere aggiornati i propri sistemi di sicurezza e di essere consapevoli dei rischi associati all’uso di dispositivi USB potenzialmente infetti. La persistenza e l’evoluzione di malware come PlugX richiedono una vigilanza continua e strategie di difesa adattive nel panorama della sicurezza informatica in rapida evoluzione.

Fonti
[1] FBI wipes Chinese PlugX malware from 4200+ US Windows PCs https://www.theregister.com/2025/01/14/fbi_french_cops_boot_chinas/
[2] FBI Uses Court Order to Delete Wormable Malware From PCs https://www.pcmag.com/news/fbi-uses-court-order-to-delete-wormable-malware-from-pcs
[3] How PlugX Malware Has Evolved & Adapted | Darktrace Blog https://darktrace.com/blog/plugx-malware-a-rats-race-to-adapt-and-survive
[4] DOJ deletes China-linked PlugX malware off more than 4200 US … https://therecord.media/doj-deletes-china-linked-plugx-malware
[5] Self-Spreading PlugX USB Drive Malware Plagues Over 90k IP … https://www.securityweek.com/self-spreading-plugx-usb-drive-malware-plagues-over-90k-ip-addresses/
[6] FBI Pulls the Plug on PlugX Malware, Removing it From Thousands … https://www.bitdefender.com/en-gb/blog/hotforsecurity/fbi-pulls-the-plug-on-plugx-malware-removing-it-from-thousands-of-devices
[7] FBI hacked thousands of computers to make malware uninstall itself https://www.theverge.com/2025/1/14/24343495/fbi-computer-hack-uninstall-plugx-malware
[8] International effort erases PlugX malware from thousands of … https://www.csoonline.com/article/3802814/international-effort-erases-plugx-malware-from-thousands-of-windows-computers.html
[9] Chinese PlugX Malware Deleted in Global Law Enforcement … https://www.infosecurity-magazine.com/news/chinese-plugx-malware-deleted/
[10] FBI Deletes PlugX Malware from 4,250 Hacked Computers in Multi … https://thehackernews.com/2025/01/fbi-deletes-plugx-malware-from-4250.html
[11] FBI ‘unplugs’ Chinese malware from thousands of infected machines https://fieldeffect.com/blog/fbi-unplugs-chinese-malware-from-thousands-of-infected-machines
[12] Justice Department and FBI Conduct International Operation to … https://www.justice.gov/opa/pr/justice-department-and-fbi-conduct-international-operation-delete-malware-used-china-backed
[13] U.S. Authorities Eradicate PlugX Malware Nationwide https://thecyberexpress.com/plugx-malware-removed/
[14] FBI Uses Malware’s Own ‘Self-Delete’ Trick to Erase Chinese PlugX … https://www.securityweek.com/fbi-uses-malwares-own-self-delete-trick-to-erase-chinese-plugx-from-us-computers/
[15] FBI Confirms It Deleted Files From 4,258 U.S.-Based Computers https://www.forbes.com/sites/daveywinder/2025/01/15/fbi-confirms-it-deleted-files-from-4258-us-based-computers/
[16] Chinese PlugX Malware Hidden in Your USB Devices? – Unit 42 https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/
[17] Take a Deep Dive into PlugX Malware – Exabeam https://www.exabeam.com/blog/infosec-trends/take-a-deep-dive-into-plugx-malware/
[18] PlugX – Red Canary Threat Detection Report https://redcanary.com/threat-detection-report/threats/plugx/
[19] Plugx threat description – NordVPN https://nordvpn.com/cybersecurity/threat-center/plugx/
[20] PlugX: A Self Reviving Malware with Global Reach – LinkedIn https://www.linkedin.com/pulse/plugx-self-reviving-malware-global-reach-thendo-tshikota-alyjf
[21] What Is PlugX Malware? How It Works & Examples – Twingate https://www.twingate.com/blog/glossary/plugx%20malware
[22] PlugX – Sekoia.io https://www.sekoia.io/en/glossary/plugx/
[23] Unmasking the Enigma: A Historical Dive into the World of PlugX … https://www.splunk.com/en_us/blog/security/unmasking-the-enigma-a-historical-dive-into-the-world-of-plugx-malware.html
[24] Global Campaign Targets PlugX Malware with Innovative Portal https://www.infosecurity-magazine.com/news/global-campaign-targets-plugx/