
Departemen Kehakiman AS (DoJ) pada hari Selasa mengungkapkan bahwa operasi resmi pengadilan memungkinkan Biro Investigasi Federal (FBI) untuk menghapus malware PlugX dari lebih dari 4.250 komputer yang terinfeksi sebagai bagian dari “operasi penegakan hukum multi-bulan.”
PlugX, juga dikenal sebagai Korplug, adalah trojan akses jarak jauh (RAT) yang banyak digunakan oleh pelaku ancaman yang terkait dengan Republik Rakyat Tiongkok (RRT), sehingga memungkinkan pencurian informasi dan kendali jarak jauh atas perangkat yang disusupi.
Pernyataan tertulis yang diajukan oleh FBI mencatat bahwa varian PlugX yang teridentifikasi terkait dengan kelompok peretasan yang disponsori negara bernama Mustang Panda, yang juga disebut sebagai BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416, dan Topan Twill.

“Setidaknya sejak tahun 2014, peretas Mustang Panda kemudian menyusup ke ribuan sistem komputer dalam kampanye yang menargetkan korban AS, serta pemerintah dan bisnis Eropa dan Asia, serta kelompok pembangkang Tiongkok,” kata Departemen Kehakiman.
Beberapa target kampanye aktor ancaman lainnya termasuk Taiwan, Hong Kong, Jepang, Korea Selatan, Mongolia, India, Myanmar, Indonesia, Filipina, Thailand, Vietnam, dan Pakistan.
Gangguan ini merupakan bagian dari upaya “disinfeksi” yang lebih besar yang dimulai pada akhir Juli 2024 untuk membersihkan sistem yang disusupi dari malware PlugX. Rincian kegiatan tersebut sebelumnya dibagikan oleh Kantor Kejaksaan Paris dan perusahaan keamanan siber Sekoia.
Seperti yang dijelaskan sebelumnya oleh Sekoia, varian khusus PlugX ini diketahui menyebar ke sistem lain melalui perangkat USB yang terpasang. Malware, setelah diinstal, mengirimkan sinyal ke server yang dikendalikan penyerang (“45.142.166[.]112”) untuk menunggu perintah lebih lanjut untuk mengumpulkan data dari host.
Pada akhir April 2024, perusahaan tersebut juga mengungkapkan bahwa mereka hanya menghabiskan $7 untuk melakukan sinkhole pada server yang dapat diakses dengan alamat IP yang dipermasalahkan, sehingga membuka pintu untuk mengeluarkan perintah penghapusan otomatis untuk menghapus malware dari mesin yang terinfeksi.
Perintah melakukan langkah-langkah yang tercantum di bawah ini –
- Hapus file yang dibuat oleh malware PlugX di komputer korban
- Hapus kunci registri PlugX yang digunakan untuk menjalankan aplikasi PlugX secara otomatis saat komputer korban dihidupkan
- Buat file skrip sementara untuk menghapus aplikasi PlugX setelah dihentikan
- Hentikan aplikasi PlugX
- Jalankan file sementara untuk menghapus aplikasi PlugX, hapus direktori yang dibuat di komputer korban oleh malware PlugX untuk menyimpan file PlugX, dan hapus file sementara dari komputer korban

FBI mengatakan perintah hapus mandiri tidak memengaruhi fungsi atau file sah apa pun pada perangkat target yang berlokasi di AS atau mengirimkan data lain apa pun dari perangkat tersebut.
Bulan lalu, Sekoia mengatakan sebanyak 59,475 muatan desinfeksi yang menargetkan 5,539 alamat IP dikeluarkan sebagai bagian dari kerangka hukum yang dibentuk untuk melakukan proses desinfeksi PlugX di 10 negara.
“Peretasan luas dan infeksi jangka panjang terhadap ribuan komputer berbasis Windows, termasuk banyak komputer rumah di Amerika Serikat, menunjukkan kecerobohan dan agresivitas para peretas yang disponsori negara RRT,” kata Asisten Jaksa Agung Matthew G. Olsen dari N. Departemen Kehakiman