Cheval de Troie : vaste opération judiciaire contre PlugX

C’est le parquet de Paris qui l’annonce dans un communiqué de presse : une opération de « désinfection a été lancée le 18 juillet et se poursuivra pendant plusieurs mois ». 

Celle-ci vise PlugX, un logiciel malveillant de type RAT, ou Cheval de Troie, permettre de prendre le contrôle à distance des machines compromises.

PlugX est attribué à la Chine. Il serait utilisé depuis 2008, initialement pour viser des organisations au Japon, mais également en Corée du Sud. Récemment, nos confrères du Spiegel détaillaient la manière dont le groupe Volkswagen a été la cible de cyber-espionnage durant des années, notamment avec PlugX. 

Ses modes de distribution ont été variés : le communiqué de presse du parquet parle de contamination par clé USB, mais Trend Micro a, par exemple, documenté des distributions par pièces jointes de courriels, en 2012.

La compromission par USB est en fait arrivée bien plus tard, en juillet 2020, avec l’ajout d’un composant dotant PlugX des capacités d’auto-propagation d’un ver, via les périphériques de stockage amovibles. 

Selon le communiqué, « quelques heures après le début du processus [de désinfection], une centaine de victimes ont déjà pu [en] bénéficier […], majoritairement en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie, et en Autriche ». 

L’Agence nationale de la sécurité des systèmes d’information (Anssi) informera individuellement les victimes françaises de ce RAT d’ici la fin 2024. Au total, il faudrait compter avec 3 000 machines compromises dans l’Hexagone.

C’est Sekoia.io qui a, avec le C3N, développé la solution de désinfection à distance. Ses spécialistes du renseignement sur les menaces ont mis la main sur un serveur de commande et de contrôle (C2) de PlugX pilotant « un réseau de plusieurs millions de machines affectées » dans le monde et répondant à « près de 100 000 » d’entre elles chaque jour.

Ce qui renvoie au mois de septembre 2023. A cette date, les équipes de Sekoia.io acquièrent, pour 7 $, une adresse IP liée à un variant de PlugX, qui avait été précédemment documenté par Sophos.

Dans un billet de blog de fin avril 2024, les équipes du Français expliquent avoir « observé en six mois plus de 2,5 millions d’adresses IP uniques » communiquant avec cette adresse IP : des agents PlugX essayant de communiquer avec leur C2. 

Mais ce n’est pas tout : « en étudiant la cryptographie des communications de PlugX, nous avons découvert qu'il était possible d'envoyer des commandes de désinfection aux postes de travail compromis ». 

Plus que prometteur : « deux approches peuvent être mises en œuvre : une qui désinfecte uniquement le poste de travail, et une plus intrusive qui désinfecte à la fois le poste de travail et la clé USB ».