Analyse de l’attaque PlugX : vecteurs, conséquences et riposte
1. Présentation & impact
PlugX (ou Korplug) est un cheval de Troie d’accès à distance (RAT) actif depuis 2008, utilisé dans de nombreuses campagnes d’espionnage informatique, notamment par des groupes APT (Mustang Panda, RedDelta).
Ce malware est capable d’exécuter des commandes à distance, voler des fichiers, installer d'autres malwares et persister dans le système. Il a récemment été détecté dans des campagnes touchant des centaines d'organisations, y compris en France.
2. Vecteurs d’attaque
a) DLL side-loading
Le malware exploite des programmes légitimes (souvent signés) pour charger une DLL malveillante. Cette technique permet d’échapper à la détection classique par les antivirus.
b) Propagation via clé USB
PlugX peut s’auto-propager via des clés USB en créant un dossier caché contenant un exécutable infecté, déclenché par un fichier .lnk. Cela lui permet de contaminer même des systèmes isolés (air-gapped).
c) Exploitation de vulnérabilités
Il est souvent déployé après compromission initiale via une faille de sécurité (ex. : VPN, serveurs exposés). Il a été observé en combinaison avec d’autres malwares comme ShadowPad.
d) Communications anonymisées
Les échanges entre la machine infectée et les serveurs C2 de l’attaquant passent souvent par des VPN ou des proxies chiffrés, rendant leur traçabilité difficile.
3. Conséquences
- Espionnage ciblé : vol de données stratégiques dans les secteurs public et privé
- Persistance sur le long terme : PlugX s’ancre dans le système pour des campagnes de surveillance prolongées
- Propagation large : plusieurs millions de machines infectées, notamment via USB
4. Mesures prises
a) Neutralisation de l'infrastructure
En juillet 2024, les autorités françaises (C3N, ANSSI) et Europol ont mené une opération de sinkholing pour neutraliser un serveur C2 PlugX et nettoyer automatiquement les machines infectées.
b) Self-deletion via Sekoia.io
L’entreprise Sekoia.io a développé un payload d’autodestruction capable de supprimer PlugX sur les machines infectées à distance.
c) Coopération internationale
Une action conjointe FBI/DOJ/ANSSI a permis de désinfecter plus de 4 000 machines aux États-Unis en janvier 2025.
d) Recommandations techniques
- Mise à jour des appliances exposées (VPN, firewalls, serveurs)
- Blocage des ports sortants inutiles
- Désactivation de l’exécution automatique des clés USB
- Surveillance des processus de chargement DLL et activités anormales
5. Tableau synthétique
| Élément | Détail |
|---|---|
| Nom | PlugX / Korplug |
| Menace | RAT / Espionnage / Persistance |
| Vecteurs | DLL hijacking, USB, vulnérabilités serveur |
| Impact | Vol de données, espionnage, propagation large |
| Mesures | Sinkholing, désinfection, patching, détection comportementale |