Home
Glossary
PlugX (ver informatique)
Table of content
5 min
H2 title on one or more lines.
Share
Updated on
June 22, 2026

PlugX (ver informatique)

Le ver PlugX est une variante du cheval de Troie d'accès à distance PlugX dotée de capacités d'auto-propagation, lui permettant de se diffuser automatiquement entre les systèmes, notamment via des périphériques USB, dans des campagnes d'espionnage informatique.

PlugX est un malware appartenant à la famille des Remote Access Trojans (RAT).
Découvert pour la première fois en 2008, il est utilisé depuis dans de nombreuses campagnes d’espionnage informatique.
De nombreux groupes APT (Advanced Persistent Threats), notamment en Asie, s’appuient sur PlugX.
Grâce à sa discrétion et à sa persistance, ce malware permet aux attaquants de maintenir un accès durable aux réseaux ciblés.

Comment fonctionne PlugX ?

Contrairement aux malwares opportunistes, PlugX est déployé dans le cadre d’attaques ciblées.
Les victimes identifiées incluent souvent :

  • des agences gouvernementales,

  • des entreprises de défense,

  • ou encore des opérateurs d’infrastructures critiques.

Une fois installé, PlugX peut :

  • Exécuter des commandes à distance.

  • Voler des fichiers et des informations sensibles.

  • Installer d’autres logiciels malveillants.

  • Abuser de processus Windows légitimes via le DLL side-loading afin d’échapper à la détection.

Certaines variantes intègrent un module ver (worm), leur permettant de se propager automatiquement via des clés USB infectées, ce qui complique fortement le confinement.

PlugX vs RATs classiques

Beaucoup de RAT offrent des fonctions de contrôle à distance, mais PlugX se distingue.
Sa modularité et ses techniques avancées de persistance le rendent particulièrement robuste.
De plus, ses opérateurs changent régulièrement leurs serveurs C2 (Command-and-Control), utilisent le chiffrement et se dissimulent dans des applications de confiance pour échapper à la détection.

Étude de cas : la campagne de nettoyage 2023

En septembre 2023, l’équipe Threat Detection & Response (TDR) de Sekoia.io a participé à une opération internationale visant à démanteler une partie de l’infrastructure PlugX.
En prenant le contrôle d’une adresse IP de serveur C2, les analystes ont mené une opération de sinkholing.
Cette action a permis de nettoyer à distance des milliers de machines infectées dans le monde entier.
Avec l’appui des forces de l’ordre, cette initiative a démontré que la défense active peut perturber des outils APT utilisés depuis des années.

PlugX et l’approche de Sekoia.io

Chez Sekoia.io, la lutte contre PlugX fait partie de notre mission.
Nous aidons les équipes SOC et CTI à détecter, contenir et stopper cette menace.

Notre plateforme XDR intègre :

  • des IoCs (Indicators of Compromise) et des règles SIGMA mis à jour en continu,

  • des playbooks automatisés qui permettent aux équipes sécurité de réagir rapidement et de contenir les infections.

Termes associés

  • RAT (Remote Access Trojan) – Cheval de Troie d’accès à distance

  • APT (Advanced Persistent Threat) – Menace persistante avancée

  • DLL side-loading – Technique d’abus de bibliothèques Windows

Read our latest blog articles

Detection Engineering
August 19, 2021

Un aperçu des opérations de Conti - Deuxième partie

Dans ce deuxième article sur Conti, nous traitons comment détecter les techniques et les modes opératoires de Conti et bien plus encore.

By
Threat Detection & Research Team
View more
Product News
October 4, 2021

Détail d’une alerte, base observables, nouvelle source exclusive… les nouveautés d’octobre 2021

Découvrez dans cet article, toutes les nouvelles fonctionnalités développées sur notre plateforme SEKOIA.IO

By
Upscaling Team
View more
Product News
November 5, 2021

Centralisation d’alertes d’EDR, nouvelles détections et trackers… les nouveautés de nov. 2021

Notre plateforme XDR ne cesse de se réinventer et d’évoluer en intégrant régulièrement de nouvelles fonctionnalités. Découvrez-les ici

By
Upscaling Team
View more