Troyano en 3000 dispositivos: así comenzaron los Juegos Olímpicos en París

En 6 países del mundo comenzó una operación a gran escala para eliminar el troyano PlugX de los dispositivos infectados. La campaña fue organizada por la policía francesa con el apoyo de Europol y la empresa francesa de seguridad informática Sekoia.

PlugX es un troyano de acceso remoto (Remote Access Trojan, RAT) que ha sido utilizado durante mucho tiempo por hackers chinos. Las nuevas versiones de PlugX se modifican y lanzan según las necesidades actuales de los atacantes.

En abril, Sekoia tomó el control del servidor C2 de una variante de PlugX. El malware se propagaba a través de unidades USB, creando una botnet que continuaba infectando dispositivos incluso después de que quedara sin supervisión del operador. Como resultado, en 6 meses de funcionamiento autónomo, el troyano infectó alrededor de 2,5 millones de dispositivos en todo el mundo. Dado que la botnet permanecía activa, podía ser tomada por otros ciberdelincuentes.

Para eliminar la amenaza, los especialistas de Sekoia propusieron un mecanismo de limpieza que utiliza un plugin especial para PlugX, que envía un comando al dispositivo para autodestruir el malware. También se propuso un método para escanear las unidades USB conectadas y eliminar el troyano. Sin embargo, la limpieza automática de las unidades USB podría dañar los medios y llevar a la pérdida de archivos legítimos, lo que hacía este enfoque riesgoso.

Considerando las complejidades legales que podrían surgir durante una campaña de limpieza a gran escala, Sekoia transfirió su solución a equipos de respuesta a incidentes informáticos (CERT), a las fuerzas del orden y a los reguladores de seguridad informática.

Europol recibió el "desinfectante" y lo compartió con los países socios para eliminar PlugX de los dispositivos. Aunque no se divulgan los detalles del mecanismo de limpieza, probablemente el programa creado sea similar al módulo PlugX descrito en el informe de abril de Sekoia.

En medio de los Juegos Olímpicos de 2024 en París, las autoridades francesas están en estado de alta alerta, y el riesgo de la presencia de PlugX en 3000 sistemas en Francia es inaceptable. Por lo tanto, PlugX ahora se está eliminando de los sistemas infectados no solo en Francia, sino también en Malta, Portugal, Croacia, Eslovaquia y Austria. La operación de limpieza comenzó el 18 de julio y se prolongará varios meses, probablemente hasta fin de año.

Se señala que esta variante de PlugX se propaga a través de unidades USB infectadas, y no se sabe si la solución de Sekoia incluye la capacidad de eliminar el malware de los medios extraíbles. Se recomienda a los usuarios tener precaución al conectar unidades USB a computadoras en imprentas y otros lugares donde se realizan muchas conexiones físicas a diario, así como escanear sus dispositivos antes de conectarlos a sistemas con datos confidenciales.

Europol y las autoridades francesas no proporcionaron comentarios.