PlugX törlése az áldozatok eszközeiről
Az amerikai Igazságügyi Minisztérium és az FBI 2025. január 14-én bejelentette, hogy egy több hónapos bűnüldözési művelet keretében nemzetközi partnerekkel együtt világszerte több ezer fertőzött számítógépről törölték a PlugX rosszindulatú programot. A Pennsylvania keleti körzetében nyilvánosságra hozott bírósági dokumentumokban leírtak szerint a Kínai Népköztársaság által támogatott hackercsoport, amely többek között Mustang Panda és Twill Typhoon néven is ismert, a PlugX malware egy változatát használta arra, hogy megfertőzze, irányítsa és ellopja az információkat az áldozatok számítógépeiről.
A bírósági dokumentumok szerint Kína kormánya fizetett a Mustang Panda csoportnak, hogy – más offenzív kibertevékenységek mellett – fejlessze ki a PlugX speciális változatát. Legalább 2014 óta a Mustang Panda hackerei több ezer informatikai rendszerbe szivárogtak be az amerikai, európai és ázsiai kormányokat és vállalatokat, illetve kínai disszidens csoportokat célzó kampányok során. A korábbi kiberbiztonsági jelentések ellenére a PlugX-szel még mindig fertőzött számítógépek tulajdonosai jellemzően nem tudnak a fertőzésről. A művelet – amelyet a francia Sekoia kiberbiztonsági vállalat vezetett – 2024. júliusában kezdődött, amikor a francia rendőrség és az Europol eltávolította a távoli hozzáférést biztosító trójai kártevőt a fertőzött franciaországi eszközökről.
A művelet keretében törölték a PlugX malware által létrehozott fájlokat az áldozatok eszközéről, törölték a PlugX registry kulcsokat, amelyeket a PlugX alkalmazás automatikus futtatására használtak az áldozat számítógépének indításakor, létrehoztak egy ideiglenes szkriptfájlt a PlugX alkalmazás törléséhez, miután azt leállították, futtatták az ideiglenes fájlt a PlugX törléséhez, törölték az áldozat számítógépén a PlugX rosszindulatú szoftver által a PlugX fájlok tárolására létrehozott könyvtárat, és törölték az ideiglenes fájlt az áldozat számítógépéről.
