中国黑客使用更新的PlugX恶意软件攻击俄罗斯军事人员

一名与中国有联系的政府资助的威胁行为人在3月份观察到袭击欧洲外交实体的行为，可能是用一种名为PlugX的远程访问特洛伊木马的更新版本针对俄罗斯政府官员。

Secureworks将此次入侵事件归咎于青铜总统追踪的一名威胁行为人，以及更广泛的网络安全社区，其绰号为Mustang Panda、TA416、HoneyMyte、RedDelta和PKPLUG。

这家网络安全公司在与《黑客新闻》分享的一份报告中表示：“乌克兰战争促使许多国家部署其网络能力，以了解全球事件、政治阴谋和动机”。“这种对态势感知的渴望往往延伸到从盟友和‘朋友’那里收集情报”。

Bronze President至少自2018年7月开始活跃，有利用自定义和公开工具进行间谍活动的历史，以妥协、保持长期访问并从感兴趣的目标收集数据。

它的主要工具是PlugX，这是一个Windows后门，使威胁行为者能够在受感染的系统上执行各种命令，多年来已被多个中国国家赞助的行为者使用。

Secureworks 的最新调查结果表明，上个月Proofpoint和ESET之前详述的同一活动的扩展，其中涉及使用代号为 Hodur 的 PlugX 的新变体，之所以如此标记是因为它与另一个名为THOR的版本重叠，该版本出现在2021年7月的场景。

攻击链从一个名为“Blagoveshchensk-Blagoveshchensk Border detaction.exe”的恶意可执行文件开始，该文件伪装成带有PDF图标的看似合法的文档，打开后会导致从远程服务器部署加密的PlugX负载。

研究人员说：“布拉戈维申斯克是一座靠近中国边境的俄罗斯城市，是第56支布拉戈维申斯基红旗边防卫队的所在地”。“这种联系表明，该文件名是针对熟悉该地区的官员或军事人员选择的”。

俄罗斯官员可能已成为2022年3月战役的目标，这一事实表明，威胁行为者正在演变其战术，以应对欧洲政治局势和乌克兰战争。

研究人员说：“针对讲俄语的用户和欧洲实体表明，威胁行为体已收到最新的任务，反映了[中华人民共和国]不断变化的情报收集要求”。

几周前，另一家总部位于中国的民族国家组织“游熊猫”（又名RedFoxtrot）利用另一种被称为“护身符”的PlugX版本，将对南亚国防和电信部门的攻击与中等信心联系在一起。

特雷利克斯上个月指出：“近年来，PlugX一直与多个中国演员有关联”。“这一事实引发了一个问题，即恶意软件的代码库是否在不同的中国国家支持的组织之间共享”。

这家网络安全公司补充说：“另一方面，空客在2015年报告的所谓PlugX v1 builder泄露事件表明，并非所有PlugX事件都与中国行为者有关”。