Millones de dispositivos siguen conectados al PlugX malwarepese a que sus creadores lo abandonaron hace meses, han advertido los expertos.
Los analistas de ciberseguridad Sekoia lograron obtener la dirección IP asociada con el servidor de comando y control (C2) del malware y observaron solicitudes de conexión durante un período de seis meses.
Durante el análisis, los puntos finales infectados intentaron realizar 90.000 solicitudes de conexión cada día, lo que supone un total de 2,5 millones de conexiones. Se dijo que los dispositivos estaban ubicados en 170 países. Sin embargo, sólo 15 de ellos representaron más del 80% del total de infecciones, con Nigeria, India, China, Irán, Indonesia, el Reino Unido, Irak y Estados Unidos entre los ocho primeros.
Todavía en riesgo
Si bien al principio podría parecer que hay muchos puntos finales infectados en todo el mundo, los investigadores enfatizaron que las cifras podrían no ser del todo precisas. El C2 del malware no tiene identificadores únicos, lo que altera los resultados, ya que muchas estaciones de trabajo comprometidas pueden salir a través de la misma dirección IP.
Además, si alguno de los dispositivos utiliza un sistema IP dinámico, un solo dispositivo puede percibirse como varios. Finalmente, muchas conexiones podrían llegar a través de servicios VPN, lo que haría discutibles las estadísticas relacionadas con los países.
PlugX se observó por primera vez en 2008 en campañas de ciberespionaje montadas por actores de amenazas patrocinados por el estado chino, dijeron los investigadores. Los objetivos eran en su mayoría organizaciones de los sectores gubernamental, de defensa y de tecnología, ubicadas en Asia. El malware era capaz de ejecutar comandos, descargar y cargar archivos, registrar teclas y acceder a información del sistema. Con el paso de los años, se le han ido añadiendo características adicionales, como la capacidad de propagarse de forma autónoma a través de unidades USB, lo que hoy en día hace que la contención sea casi imposible. La lista de objetivos también se amplió hacia Occidente.
Sin embargo, después de que el código fuente se filtrara en 2015, PlugX se convirtió en un malware más «común», con muchos grupos diferentes, tanto patrocinados por el estado como motivados financieramente, usándolo, lo que probablemente sea la razón por la que los desarrolladores originales lo abandonaron.
A través de pitidocomputadora