Az FBI, amerikai igazságügyi minisztérium illetve nemzetközi partnereik bejelentették, hogy több ezer számítógépről törölték a PlugX malware-t világszerte egy több hónapos bűnüldözési akció keretein belül. A malware a kínai Mustang Panda (másnéven Twill Typhoon) nevű fenyegető szereplőhöz köthető, melyet a támadó érzékeny adatok eltulajdonítására használt. A bírósági dokumentumokból az derült ki, hogy Mustang Pandát a kínai kormány kérte fel és fizette a kártékony program fejlesztésére. Ez a PlugX variáns támogatja a wormable képességeket, amelyek lehetővé tették a fenyegetés USB flash meghajtókon keresztül történő terjedését.
Egy francia kiberbiztonsági vállalat, a Sekoia.io vezette a nemzetközi műveletet a kártékony program felderítésére. Megfejtették hogyan küldhetnek parancsokat a fertőzött eszközök megtisztítására, amelyet az FBI tesztelés után jóvá is hagyott. Ugyanakkor hozzátették, hogy a parancsok futtatása nincs hatása az érintett számítógépek normál funkcióira.
A dokumentumokból továbbá kiderült, hogy a támadás központjában európai szállítmányozási cégek, európai kormányok, kínai disszidens csoportok és indo-csendes óceáni kormányok, mint pl. Japán és Tajvan álltak. Egy francia bűnüldözési szerv hozzáférést nyert a malware irányításáért felelős C2 szerverhez (45.142.166.122), majd azt kihasználva küldtek parancsokat a fertőzött eszközökre. A PlugX egy bizonyos „self-delete” parancsot is támogat, amely az alábbiakra utasítja a kártékony programot:
- törölje a PlugX malware által létrehozott fájlokat az áldozat számítógépén;
- törölje a PlugX registry kulcsokat, amelyeket a PlugX alkalmazás automatikus futtatásához használnak az áldozat számítógépének indításakor;
- hozzon létre egy ideiglenes szkriptfájlt a PlugX alkalmazás törlésére, miután leállították;
- állítsa le a PlugX alkalmazást;
- futtassa az ideiglenes fájlt a PlugX-alkalmazás törléséhez, törölje az áldozat számítógépén a PlugX malware által a PlugX-fájlok tárolására létrehozott könyvtárat, és törölje az ideiglenes fájlt az áldozat számítógépéről.
Az FBI megkezdte a megtisztított számítógépek tulajdonosainak értesítését az Egyesült Államok internetszolgáltatóinak segítségével.
