PlugX

PlugX est un cheval de Troie d'accès à distance (RAT) modulaire et sophistiqué, utilisé depuis plus d'une décennie dans des attaques ciblées, principalement par des groupes APT liés à la Chine, et qui permet aux attaquants de prendre le contrôle total d'un système infecté tout en échappant à la détection.

PlugX est connu pour sa conception modulaire, ce qui lui permet d'être facilement personnalisé et adapté à différents scénarios d'attaque. Il a été lié à des groupes APT, notamment ceux opposés à la Chine.

En mars 2023, Sophos a publié un billet de blog mettant en évidence un variant de PlugX avec des capacités de ver. Sur la base de cette recherche, l'équipe CTI de Sekoia.io a décidé d'acquérir l'adresse IP unique liée à un variant de ce ver, avec un objectif clair : créer un sinkhole pour collecter des données de télémétrie des postes de travail infectés.

En étudiant la cryptographie des communications de PlugX, l'équipe a découvert qu'il était possible d'envoyer des commandes de nettoyage aux postes de travail compromis.

Read our latest blog articles

Detection Engineering

August 19, 2021

Un aperçu des opérations de Conti - Deuxième partie

Dans ce deuxième article sur Conti, nous traitons comment détecter les techniques et les modes opératoires de Conti et bien plus encore.

Threat Detection & Research Team

Product News

October 4, 2021

Détail d’une alerte, base observables, nouvelle source exclusive… les nouveautés d’octobre 2021

Découvrez dans cet article, toutes les nouvelles fonctionnalités développées sur notre plateforme SEKOIA.IO

Upscaling Team

Product News

November 5, 2021

Centralisation d’alertes d’EDR, nouvelles détections et trackers… les nouveautés de nov. 2021

Notre plateforme XDR ne cesse de se réinventer et d’évoluer en intégrant régulièrement de nouvelles fonctionnalités. Découvrez-les ici

Upscaling Team