# PlugX > [!high] RAT Modular Chinês com 13 Anos de Operação - Espionagem APT Global > PlugX (Korplug/Sogu) é o RAT de espionagem mais duradouro do ecossistema APT chinês, ativo desde 2012 e usado por mais de 11 grupos distintos alinhados ao MSS e PLA. Em janeiro de 2025, operação internacional de polícia removeu o PlugX de mais de 4.000 computadores nos EUA - mas o **Mustang Panda** já havia substituído por novas ferramentas SnakeDisk e LOTUSLITE. Representa o paradigma de ferramenta compartilhada entre múltiplos grupos APT de um mesmo Estado. ## Visão Geral PlugX (MITRE S0013, também conhecido como Korplug, Sogu, Kaba, TVT e DestroyRAT) é um RAT modular de longa data utilizado exclusivamente por grupos de espionagem alinhados à China desde pelo menos 2012. Ao contrário de malwares comerciais, o PlugX é desenvolvido e distribuído dentro do ecossistema de APTs chineses como ferramenta de espionagem geopolítica de longo prazo. O malware suporta arquitetura de plugins que permite adicionar capacidades modulares - keylogging, exfiltração de arquivos, acesso remoto, propagação USB - ao núcleo instalado. O PlugX é notório por sua longevidade: variantes e campanhas foram documentadas continuamente entre 2012 e 2025, com o [[g0129-mustang-panda|Mustang Panda]] (Earth Preta/RedDelta) sendo o operador mais ativo em campanhas recentes. Em janeiro de 2025, uma operação policial internacional coordenada pelo FBI, Eurojust e polícias francesas removeu o PlugX de mais de 4.000 computadores comprometidos nos EUA - escala que demonstra a persistência da ferramenta em redes vitimadas por anos. O [[g0129-mustang-panda|Mustang Panda]] respondeu rapidamente com novas ferramentas (SnakeDisk USB worm, LOTUSLITE backdoor) para substituir a infraestrutura comprometida, confirmando sua capacidade de adaptação contínua. A técnica central do PlugX é o **DLL sideloading**: um binário legítimo e assinado (ex: `inkform.exe`, `KeyScramblerIE.dll`, músicas KuGou) é copiado junto de uma DLL maliciosa com o nome esperado. Quando o binário legítimo é executado, carrega a DLL maliciosa via DLL search order hijacking, que por sua vez decifra e executa o payload PlugX em memória com as permissões do processo pai. A configuração do PlugX é cifrada com XOR e armazenada em arquivo `.dat` no diretório do aplicativo. **Plataformas:** Windows ## Como Funciona **Entrega via spear-phishing com LNK ou MSC:** O PlugX é entregue via campanhas de spear-phishing com arquivos LNK maliciosos em ZIPs, arquivos MSC (Microsoft Management Console) ou via MSIEXEC apontando para servidor remoto. O [[g0129-mustang-panda|Mustang Panda]] usa documentos com iscas geopolíticas (ex: documentos sobre cúpula ASEAN, material do governo de Myanmar ou Filipinas). **DLL sideloading com binário legítimo assinado:** Um executável legítimo e assinado digitalmente é copiado para um diretório temporário junto da DLL maliciosa. Ao executar o binário legítimo, o Windows carrega a DLL maliciosa (T1574.001) que decifra e executa o payload PlugX em memória. **Persistência via registro ou serviço:** O PlugX cria chave Run no registro com nome mascarado ou instala serviço Windows para sobreviver a reinicializações. A configuração é armazenada em arquivo `.dat` cifrado com XOR usando MUTEX para evitar instâncias duplas. **Reconhecimento e coleta:** O keylogger captura credenciais e conversas. Módulo de descoberta de arquivos varre drives locais e de rede por documentos de interesse. Screenshots periódicos capturam atividade da tela. **Propagação USB com plugin KillSomeOne:** O módulo KillSomeOne replica o PlugX para dispositivos USB inseridos, criando arquivos ocultos e um autorun LNK. Permite comprometer redes air-gapped e sistemas sem conectividade à internet. **C2 via Dead Drop Resolver:** O PlugX localiza o endereço do servidor C2 consultando páginas em Pastebin, GitHub ou serviços de cloud, evitando que bloqueio de um IP encerre as comúnicações. O tráfego usa cifração XOR sobre TCP porta 5000. ## Attack Flow ```mermaid graph TB A["Spear-phishing APT<br/>LNK+ZIP MSC MSIEXEC<br/>T1204.002 Malicious File"] --> B["DLL Sideloading<br/>Binario legitimo assinado<br/>T1574.001 DLL Search Order"] B --> C["PlugX implant ativo<br/>Registry persistence<br/>T1547.001 Config XOR"] C --> D["Reconhecimento<br/>Keylogging T1056.001<br/>File discovery T1083"] D --> E["USB propagation<br/>KillSomeOne plugin<br/>T1091 Removable Media"] E --> F["C2 furtivo<br/>Dead Drop Resolver T1102.001<br/>XOR TCP 5000 Cloudflare"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef usb fill:#f39c12,color:#fff classDef c2 fill:#9b59b6,color:#fff class A delivery class B exploit class C install class D recon class E usb class F c2 ``` ## Timeline ```mermaid timeline title PlugX - Linha do Tempo 2012 : Primeiras amostras documentadas 2017 : Atribuicao publica ao Mustang Panda 2020 : KillSomeOne USB plugin documentado 2022 : Campanhas contra UE após invasao Ucrania 2023 : DOPLUGS variante com Nim downloader 2024-02 : DOPLUGS contra Taiwan, ASEAN Summit 2025-01 : Lei operação internacional remove 4k instancias 2025-08 : SnakeDisk USB worm substitui PlugX ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1204-002-malicious-file\|T1204.002]] | Execução de LNK malicioso ou arquivo MSC entregue por spear-phishing | | Evasão | [[t1574-001-dll-sideloading\|T1574.001]] | DLL sideloading via binário legítimo assinado - técnica central do PlugX | | Evasão | [[t1622-debugger-evasion\|T1622]] | Verificações de ambiente para evitar análise em sandbox/debugger | | Evasão | [[t1036-004-masquerade-task-or-service\|T1036.004]] | Serviço ou tarefa agendada com nome mascarado como software legítimo | | Evasão | [[t1480-002-mutual-exclusion\|T1480.002]] | MUTEX para evitar múltiplas instâncias e detectar ambiente de análise | | Evasão | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Arquivos ocultos criados em dispositivos USB pelo plugin KillSomeOne | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave Run no registro para execução na inicialização do Windows | | Persistência | [[t1112-modify-registry\|T1112]] | Armazenamento de configuração XOR-cifrada no registro | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger captura credenciais, mensagens e dados digitados | | Coleta | [[t1083-file-and-directory-discovery\|T1083]] | Varredura de arquivos e diretórios por documentos de interesse | | C2 | [[t1102-001-dead-drop-resolver\|T1102.001]] | Localiza servidor C2 em Pastebin, GitHub ou serviços cloud | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | Comúnicação via protocolo não-padrão sobre TCP porta 5000 | | Movimento Lateral | [[t1091-replication-through-removable-media\|T1091]] | Plugin KillSomeOne propaga PlugX para dispositivos USB inseridos | | Descoberta | [[t1614-system-location-discovery\|T1614]] | Verificação de localização geográfica do sistema alvo | | Descoberta | [[t1124-system-time-discovery\|T1124]] | Verificação de horário do sistema (anti-sandbox) | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Reconhecimento da configuração de rede do host comprometido | ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] (Earth Preta / RedDelta / TA416) - operador mais ativo - [[g1047-velvet-ant|Velvet Ant]] - [[g1034-daggerfly|Daggerfly]] - [[g0096-apt41|APT41]] - [[g0022-apt3|APT3]] - [[g0126-higaisa|Higaisa]] - [[g0027-threat-group-3390|Threat Group-3390]] - [[g1021-cinnamon-tempest|Cinnamon Tempest]] - [[g0093-gallium|GALLIUM]] - [[g0001-axiom|Axiom]] - [[g0045-apt10|menuPass]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 7 (ImageLoad):** DLL sideloading - executável legítimo e assinado carregando DLL maliciosa do mesmo diretório (padrões `x32dbg.exe`, `inkform.exe`, `KeyScramblerIE.dll`, binários KuGou) - par executável/DLL com assinaturas diferentes é indicador forte - **Sysmon Event ID 11 (FileCreate) + 13 (RegistryEvent):** Arquivos `.dat` cifrados em diretórios de aplicativos; modificações em chaves de Run com nomes mascarados como "OneNote Update" por processos não relacionados ao software legítimo - **Rede:** Conexões TCP 5000 de processos inesperados para IPs externos; requisições HTTP para Pastebin/GitHub por processos que não são browsers - padrão Dead Drop Resolver (T1102.001) - **USB:** Monitorar criação de executáveis em raiz de dispositivos removíveis com nome igual ao volume label e arquivos ocultos com extensão `.dll` não assinadas **Regras de detecção:** - Sigma: `sysmon_plugx_dll_sideloading.yml` - DLL sideloading com binário legítimo assinado + DLL sem assinatura no mesmo path (SigmaHQ) - YARA: `apt_plugx.yar` - strings internas de configuração PlugX, estruturas de plugin modulares (repositório Neo23x0/signature-base) - Sigma: `proc_creation_win_plugx_reg_persistence.yml` - criação de chave de persistência via Active Setup com StubPath suspeito ## Relevância LATAM/Brasil O PlugX é utilizado principalmente por APTs chineses com foco em espionagem geopolítica. O [[g0129-mustang-panda|Mustang Panda]] e o [[g0093-gallium|GALLIUM]] realizam operações contra telecomúnicações, governo e organizações diplomáticas em países com relações estratégicas com a China - o que inclui o Brasil, que mantém parcerias econômicas e diplomáticas significativas com Beijing. Embora a maioria das campanhas documentadas concentre-se na Ásia e Europa, a expansão das operações do [[g0129-mustang-panda|Mustang Panda]] para alvos globais (incluindo organizações diplomáticas europeias e think tanks americanos ligados à política sobre China) cria risco residual para representações brasileiras nestas instituições. Operação documentada de 2023 do Mustang Panda comprometeu organizações em Myanmar, Filipinas e países ASEAN usando isca documental de política regional. A propagação via USB é especialmente relevante para redes air-gapped em setores governamentais e de infraestrutura crítica brasileiros. O [[g0004-apt15|Ke3chang]] (APT15), outro usuário do PlugX, tem histórico de operações contra alvos diplomáticos e governamentais em países que mantêm relações econômicas com a China - incluindo missões diplomáticas em países da América do Sul que negociam acesso a recursos naturais. ## Referências - [1](https://attack.mitre.org/software/S0013/) MITRE ATT&CK - S0013 PlugX - [2](https://attack.mitre.org/campaigns/C0047/) MITRE ATT&CK - C0047 RedDelta Modified PlugX Infection Chain Operations - [3](https://thehackernews.com/2024/02/mustang-panda-targets-asia-with.html) The Hacker News - Mustang Panda DOPLUGS Against Taiwan e ASEAN (2024) - [4](https://www.picussecurity.com/resource/blog/breaking-down-mustang-panda-windows-endpoint-campaign) Picus Security - Breaking Down Mustang Panda Windows Campaign (2025) - [5](https://www.justice.gov/opa/pr/justice-department-authorizes-operation-remove-plugx-malware-infected-computers-united-states) DOJ - Operation Remove PlugX From US Computers (2025) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx) Malpedia - PlugX malware family analysis