Федеральное бюро расследований взломало более 4,2 тыс. компьютеров в сетях по всей территории США, чтобы удалить троян удалённого доступа PlugX, сообщило американское Министерство юстиции. Вредоносное программное обеспечение контролирует китайская хакерская группировка Mustang Panda, также известная как Twill Typhoon. Злоумышленники заражали системы через USB-накопители, ПО обеспечивало удалённый доступ к файлам и возможностям выполнения команд.
В 2024 году жертвами атак стали европейские судоходные компании, в 2021-2023 годах — несколько правительств европейских стран, китайские диссиденты по всему миру и правительства в Индо-Тихоокеанском регионе, включая власти Тайваня, Гонконга, Японии, Южной Кореи, Монголии, Индии, Мьянмы, Индонезии, Филиппин, Таиланда, Вьетнама и Пакистана.
После заражения вредоносное ПО остаётся на компьютере жертвы, создавая ключи реестра, которые автоматически активируют PlugX при запуске системы. Владельцы устройств обычно не знают о заражении.
Одобренные судом действия ФБР стали частью глобальной операции по удалению вредоносного ПО, проводимой французской компанией в сфере кибербезопасности Sekoia. Операция началась в июле прошлого года, когда французская полиция и Европол удалили PlugX с заражённых устройств во Франции.
В конце лета 2024 года американский Минюст и ФБР получили первый из девяти ордеров, разрешающих удаление PlugX с расположенных в США компьютеров. Последний из этих ордеров истёк 3 января 2025 года, тем самым завершив американскую часть операции.
PlugX используют для атак минимум с 2008 года. В основном ПО применяли связанные с Министерством государственной безопасности Китая группы для кибершпионажа и операций по удалённому доступу. Жертвами становились правительственные, оборонные, технологические и политические организации в Азии и по всему миру. PlugX имеет обширные возможности, включая сбор системной информации, загрузку и скачивание файлов, регистрацию нажатий клавиш и выполнение команд.
В 2023 году ФБР провело аналогичную операцию в отношении сети компьютеров, заражённых Quakbot. Двумя годами до этого бюро удалённо взломало сотни компьютеров, чтобы защитить их от взлома Hafnium.
