Les serveurs de commande et de contrôle peuvent également être utiles aux forces de l'ordre.
En un mot: Le ministère de la Justice et le FBI ont récemment annoncé une opération de plusieurs mois visant à éliminer une variante de la famille de logiciels malveillants PlugX. L'outil malveillant a été développé par une équipe de piratage connue sous le nom de « Mustang Panda », a indiqué le FBI, et l'ensemble de l'opération a été parrainée et financée par les autorités chinoises. Le malware a été conçu pour infiltrer, infecter et contrôler des milliers de PC et de réseaux à travers le monde.
Une famille de logiciels malveillants connue sous le nom de PlugX est conçue pour contrôler à distance les machines infectées, une menace qui existe depuis 2008. Une variante spécifique de ce cheval de Troie d'accès à distance (RAT) a été récemment ciblée et pratiquement effacée d'Internet par le FBI et quelques partenaires internationaux.
Mustang Panda est actif depuis au moins 2014, selon l'affidavit du FBI récemment dévoilé. Le groupe a ciblé des organisations gouvernementales et privées basées aux États-Unis, en Europe et en Asie, ainsi que quelques groupes dissidents chinois. Les propriétaires de systèmes infectés par PlugX ignorent généralement l'infection en cours, c'est pourquoi la récente opération d'autodestruction a porté un coup dur à la menace.
L'agence américaine a tiré parti de son partenariat avec les autorités françaises chargées de l'application des lois et la société française de cybersécurité Sekoia.io. Les chercheurs de Sekoia ont réussi à découvrir une fonctionnalité cachée dans le code de PlugX, qui pourrait recevoir une instruction « d'autodestruction » de son serveur de commande et de contrôle (C2). L'adresse IP C2 était codée en dur dans le logiciel malveillant, ce qui a permis au FBI de saisir efficacement l'ensemble du système.
La famille PlugX de chevaux de Troie d'accès à distance est connue pour sa capacité étendue à exécuter des commandes provenant de serveurs C2 distants. Les cybercriminels peuvent facilement extraire des informations pertinentes sur les machines des systèmes infectés, capturer l'écran, envoyer des événements de clavier et de souris, redémarrer le système, gérer les services et le registre Windows, et bien plus encore.
Dès août 2024, le FBI et le ministère de la Justice ont obtenu neuf mandats nécessaires à l'organisation de l'opération d'autodestruction de PlugX. Le juge a autorisé la suppression de l'infection PlugX d'environ 4 258 PC et réseaux Windows basés aux États-Unis, et l'opération a été conclue au début du mois.
En outre, le FBI a contacté les véritables victimes américaines du malware RAT via leurs fournisseurs de services Internet respectifs. Selon Jacqueline Romero, procureure américaine pour le district oriental de Pennsylvanie, cette infection PlugX à long terme impliquant des milliers d'ordinateurs montre à quel point les pirates informatiques parrainés par la Chine sont imprudents et agressifs. Les autorités américaines ont pu faire face efficacement à cette menace grâce à une approche internationale « associant l’ensemble de la société » à la protection de la cybersécurité américaine.