PlugX: C2‑сеть Mustang Panda, UNC6384 и RedDelta
Недавние расследования обнаружили сеть из 14 доменов, используемых в шпионской кампании, где ключевую роль играет модульный троян для удалённого доступа PlugX. По данным исследователей, инфраструктура связана с группами, ранее ассоциируемыми с государственно спонсируемыми угрозами из КНР — в первую очередь Mustang Panda, UNC6384 и RedDelta. Цели атак — прежде всего государственные и дипломатические структуры, в основном в регионе Юго‑Восточной Азии.
Краткое содержание расследования
Расследование началось с анализа образцов PlugX и адреса C2, обнаруженного исследователями. Последующий WHOIS-анализ показал регистрацию домена через NameCheap и использование Cloudflare для сокрытия реальной инфраструктуры. Оператор C2 демонстрирует методичный подход: регистрация истёкших доменов, развертывание на VPS с ASN 149440 (связанный с Evoxt Enterprise), а затем маскировка через облачные сервисы.
«Методичный характер тактики, методов и процедур (TTP) злоумышленника указывает на общую операционную рамку среди трёх акторов, акцентированных в результатах.»
Технические детали и TTP
- Малварь: PlugX — модульный RAT с длительной историей использования против государственных и дипломатических целей.
- Начальные загрузчики: зафиксированы загрузчики типа STATICPLUGIN, применявшиеся перед развертыванием PlugX.
- Альтернативные векторы: в одном из инцидентов использовались MSBuild и боковая загрузка DLL (GData) для заражения и подключения к другому домену.
- Инфраструктура C2: 14 доменов, массовое использование безобидно выглядящих/истёкших доменов, переход на VPS с ASN 149440, а затем — на Cloudflare для повышения скрытности и устойчивости.
- Перекрытие сетей: Mustang Panda и UNC6384 демонстрируют пересекающиеся C2‑сети и схожие стратегии развертывания, что может указывать на оперативную координацию или общую операционную рамку.
Почему это важно
Комбинация следующих факторов делает кампанию опасной и трудноустранимой:
- Использование модульного RAT (PlugX) позволяет злоумышленникам гибко расширять функциональность вредоносного набора.
- Регистрация истёкших доменов и опора на известные регистраторы упрощают развёртывание новых точек C2 и усложняют отслеживание.
- Миграция в облачные сервисы (включая Cloudflare) повышает устойчивость инфраструктуры и затрудняет блокирование.
- Скоординированность TTP между группами свидетельствует о зрелой и системной операционной модели.
Рекомендации для защиты и мониторинга
- Организациям в государственных и дипломатических секторах — усилить мониторинг входящего трафика и DNS‑запросов на предмет доменов, соответствующих выявленному шаблону.
- Вести регулярный мониторинг WHOIS и SSL‑сертификатов для обнаружения регистрации истёкших доменов и быстрых миграций C2.
- Настроить детекцию поведения, характерного для STATICPLUGIN, MSBuild‑загрузчиков и DLL sideloading (например, GData), а также активности, связанной с PlugX.
- Рассмотреть применение правил на сетевом оборудовании и в прокси для ограничения трафика к подозрительным ASN (включая 149440) и быстрой блокировки известных доменов C2.
- Поддерживать оперативный обмен индикаторами компрометации (IOCs) между CERT/CSIRT и профильными подразделениями для своевременного реагирования.
Вывод
Расследование подчёркивает систематический и устойчивый характер кампаний групп, ассоциируемых с KНР, использующих PlugX и связанные загрузчики. Их методичный подход к созданию и маскировке инфраструктуры C2 — регистрация истёкших доменов, развертывание на VPS с ASN 149440 и последующая миграция в облака — повышает сложность обнаружения и нейтрализации угрозы. Учитывая поведенческие совпадения между Mustang Panda, UNC6384 и RedDelta, рекомендуется продолжать интенсивный мониторинг и обмен информацией между организациями для уменьшения рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
