PlugX, también conocido como Korplug, S.捅, y M.捅, es un malware troyano de acceso remoto (RAT) altamente sigiloso y persistente que ha estado activo desde al menos 2016. Se utiliza principalmente para ciberespionaje, robo de datos y control remoto de sistemas comprometidos.
Origen:
Se desconoce el origen exacto de PlugX, pero se cree que fue desarrollado por un grupo de hackers patrocinado por algún gobierno (no se ha identificado el país específico). Algunos expertos en seguridad creen que el malware podría estar relacionado con operaciones de inteligencia militar o gubernamental.
Autores:
No se ha identificado a los autores específicos de PlugX. Sin embargo, se cree que el malware fue desarrollado por un equipo de expertos en seguridad con un conocimiento profundo de los sistemas operativos y las redes informáticas.
Fechas:
- 2016: Se detecta por primera vez PlugX.
- 2017: El malware se utiliza en ataques dirigidos contra organizaciones gubernamentales y empresas en varios países.
- 2018: Se publican más detalles sobre las capacidades técnicas de PlugX.
- 2019: Se observan nuevas variantes de PlugX que utilizan diferentes métodos de ataque.
- 2020: El malware se utiliza en ataques más sofisticados que involucran el robo de datos confidenciales.
- 2021: Se lanzan nuevas herramientas y técnicas para detectar y eliminar PlugX.
- 2022: El malware sigue siendo una amenaza activa y se están desarrollando nuevas variantes.
- 2023: Se observa un aumento en el uso de PlugX en ataques contra organizaciones en América Latina.
- 2024: Hasta la fecha, PlugX sigue siendo una amenaza activa y se recomienda a los usuarios y organizaciones que tomen medidas para protegerse contra este malware.
Más información:
- PlugX ha sido utilizado en una amplia gama de ataques, incluyendo:
- Ciberespionaje: El malware se utiliza para robar información confidencial de organizaciones gubernamentales y empresas.
- Robo de datos: PlugX se utiliza para robar datos financieros, información personal y propiedad intelectual.
- Control remoto de sistemas: Los operadores del malware pueden usar PlugX para tomar el control remoto del sistema infectado, ejecutar comandos, instalar software adicional y modificar la configuración del sistema.
- Espionaje de la actividad del usuario: PlugX puede registrar las pulsaciones del teclado, capturar capturas de pantalla y registrar el historial del navegador.
Es importante tomar medidas para protegerse contra PlugX y otros tipos de malware.
Aquí hay algunos consejos:
- Mantener el software actualizado: Aplique todas las actualizaciones de seguridad del sistema operativo y del software tan pronto como estén disponibles.
- Tenga cuidado con los correos electrónicos y sitios web sospechosos: No abra archivos adjuntos ni haga clic en enlaces en correos electrónicos de remitentes desconocidos. Evite visitar sitios web sospechosos o no confiables.
- Utilice un antivirus y un anti-malware: Instale y mantenga actualizado un antivirus y un anti-malware de buena reputación.
- Tenga cuidado con los dispositivos USB: No conecte dispositivos USB desconocidos a su sistema.
- Realice copias de seguridad de sus datos: Realice copias de seguridad de sus datos importantes de forma regular.
Actualización y buenas noticias :
Capturaron la ip de control de PlugX
Más exactamente, se trata de una versión más evolucionada respecto a la original de la que se habló en su momento. Los expertos que están estudiando este virus no han conseguido responder a todas las dudas existentes acerca de su origen, pero mencionan que, por sus pesquisas, creen que se diseñó en China. Y no solo eso, sino que podría haber sido usado por el Ministerio de Seguridad del Estado para llevar a cabo algunos de sus planes más misteriosos. No obstante, son conjeturas.
Quizá por ese origen controvertido, quien se encontraba al frente del control del virus decidiese abandonarlo. Según los expertos, solo había una dirección IP que estuviera vinculada al control del virus, al menos a esta versión. Y esa dirección se encuentra abandonada desde hace mucho tiempo. Eso, no obstante, no ha impedido que el virus siga existiendo y extendiéndose sin ningún tipo de control.
Por suerte, hay buenas noticias. En Sekoia, una empresa de seguridad, descubrieron lo que estaba pasando y se preocuparon tanto que decidieron que tenían que hacer algo. Que el desarrollador original del virus lo hubiera abandonado y ya no tuviera el control sobre la IP de gestión significaba que se abría una oportunidad para poder hacer algo al respecto. Así que los expertos en seguridad de esta firma se pusieron manos a la obra y se hicieron con el control de la IP de marras.
Gracias a ello, han conseguido poner control al virus e interceptar todo el envío de datos que está haciendo el gusano mientras todavía se encuentra “libre”. Eso significa que, todos los usuarios que se han visto afectados, al menos en estos momentos, pueden estar tranquilos. El tráfico que redirige el virus hacia la IP, está siendo monitorizado por motivos de seguridad por los expertos que han descubierto lo que pasaba. Dicen que la cantidad de conexiones que se hacen al día es alarmante: alrededor de 100.000 direcciones IP cada día. Y en seis meses la cantidad ha pasado de los 2 millones y medio.
En cuanto a equipos infectados, se cree que hay millones que todavía tienen el virus activo. Esto ha sorprendido en Sekoia, puesto que sus previsiones iniciales eran mucho más reducidas. En añadido a esto dan dos datos importantes. El primero de ellos es que dicen que el virus o versiones derivadas del mismo, contacta con otros centros de datos, otras direcciones IP que no están bajo su control. Una de ellas mencionan que cree que ha sido controlada y desarmada como han hecho ellos, pero todavía quedarían, como poco, otras dos que estarían usándose de manera maliciosa.
El otro de los datos son los países que más se están viendo afectados por esta infección: India, Indonesia y Reino Unido. Curiosamente, son lugares que tienen relaciones con China o son territorios estratégicamente interesantes para la nación asiática. Pero, como decíamos, son solo conjeturas que lanzan los expertos al aire con la intención de intentar atar cabos.
