# PlugX (Korplug) > Tipo: **rat** · S0013 · [MITRE ATT&CK](https://attack.mitre.org/software/S0013) ## Descrição [[korplug|PlugX]] (também conhecido como Korplug, Sogu e SOLO) é um dos Remote Access Trojans mais prolíficos e duradouros associados a grupos APT de origem chinesa, em uso ativo desde pelo menos 2008 e continuamente atualizado. O [[korplug|PlugX]] é uma ferramenta de espionagem multiplataforma que oferece controle remoto completo sobre sistemas comprometidos, utilizada por múltiplos grupos chineses incluindo [[g0096-apt41|APT41]], [[g0129-mustang-panda|Mustang Panda]] e [[g0022-apt3|APT3]], tornando-o um indicador de possível espionagem patrocinada pelo Estado chinês quando identificado em uma rede. A arquitetura do [[korplug|PlugX]] é modular e extensível, com plugins carregáveis que adicionam funcionalidades como keylogging, captura de tela, acesso remoto ao desktop, gerenciamento de arquivos e acesso a drives removíveis. O malware utiliza DLL side-loading ([[t1574-002-dll-side-loading|T1574.002]]) como mecanismo principal de execução - aproveitando executáveis legítimos e assinados (como ferramentas da Symantec, Adobe ou VMware) para carregar uma DLL maliciosa via ordem de busca de DLL - tornando a detecção por processos complexa. A comunicação C2 é cifrada com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) via HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]). Em 2024, o DOJ dos Estados Unidos e parceiros internacionais anunciaram a desativação de uma botnet PlugX de 45.000 dispositivos infectados, demonstrando a escala de operações com esta ferramenta. O [[korplug|PlugX]] continua em desenvolvimento ativo, com o [[g0129-mustang-panda|Mustang Panda]] regularmente lançando novas variantes com técnicas de evasão aprimoradas. A longevidade do [[korplug|PlugX]] - mais de 15 anos em uso ativo - o torna um dos malwares APT mais persistentes e relevantes no cenário atual de ameaças. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0096-apt41|APT41]] - [[g0129-mustang-panda|Mustang Panda]] - [[g0022-apt3|APT3]] ## Detecção Detecção do [[korplug|PlugX]] foca no padrão de DLL side-loading com executáveis legítimos. Monitorar: processos legítimos assinados carregando DLLs de diretórios incomuns; DLLs com nomes que correspondem a DLLs do sistema mas localizadas fora de System32; e conexões HTTP cifradas de processos não-esperados. Regras YARA para o cabeçalho de arquivo característico do PlugX ("PLUG") e assinaturas Snort/Suricata para padrões de beacon C2 estão amplamente disponíveis. O CISA e parceiros internacionais públicaram IOCs atualizados do [[korplug|PlugX]] em múltiplos alertas. ## Relevância LATAM/Brasil O [[korplug|PlugX]] e o [[g0129-mustang-panda|Mustang Panda]] têm relevância crescente para o Brasil dado que o [[g0129-mustang-panda|Mustang Panda]] expandiu operações para múltiplas regiões, incluindo campanhas documentadas na África e potencialmente América Latina. O Brasil, como o maior parceiro comercial da China na América do Sul, com relações bilaterais profundas nos setores agrícola, energético, de telecomúnicações e tecnologia, é um alvo potencial de espionagem econômica via [[korplug|PlugX]]. Especialmente em contexto de negociações comerciais sensíveis, parcerias de infraestrutura 5G e contratos de mineração com empresas chinesas. ## Referências - [MITRE ATT&CK - S0013](https://attack.mitre.org/software/S0013)