Investigadores de ciberseguridad han hallado una cepa de PlugX, un malware vinculado al Ministerio de Seguridad del Estado de China, en más de 170 países.
Expertos de la empresa Sekoia han constatado esta amplia distribución tras haber tomado el control de un servidor de comando y control vinculado a dicho código malicioso.
PlugX es un auténtico veterano en el ámbito de las ciberamenazas. Los orígenes del malware se remontan a 2008, cuando fue desarrollado por empresas pantalla vinculadas a la agencia china.
Desde entonces PlugX ha sido usado ampliamente por grupos de espionaje mandarines. En 2020 los miembros de una pandilla llamada Mustang Panda incorporaron al malware la capacidad de propagarse a unidades flash USB conectadas, para así obtener acceso a redes no conectadas.
La empresa de ciberseguridad Sophos advirtió el año pasado que había hallado "brotes localizados" de una nueva variante de PlugX que se propagaba mediante unidades USB en Mongolia, Zimbabwe y Nigeria, tras haberse visto en campañas iniciales en Papua Nueva Guinea en enero de 2023.
Por otro lado, Sekoia se hizo con la dirección IP única vinculada a la variante identificada por Sophos por tan solo 7 dólares, descubriendo que "entre 90.000 y 100.000 direcciones IP únicas envían solicitudes distintivas de PlugX todos los días".
“Inicialmente pensamos que tendríamos algunos miles de víctimas relacionadas con esto, como lo que podemos tener en nuestros sumideros habituales. Sin embargo, al configurar un servidor web simple, vimos un flujo continuo de solicitudes HTTP que varían según la hora del día”, ha explicado la firma.
En seis meses pudieron observar como más de 2,5 millones de IP únicas se conectaban a él. Además, Sekoia ha encontrado que alrededor de 15 países representan más del 80% del total de infecciones. Nigeria se sitúa en primer lugar, mientras le siguen India, Irán, Indonesia y EE.UU.
El análisis también revela que estos países no comparten demasiadas similitudes, lo que lleva a pensar que el malware podría haberse originado "en múltiples pacientes cero en diferentes países".
“La distribución geográfica de los territorios más infectados puede indicar una posible motivación detrás de este gusano. Sin embargo, esto hay que tomarlo con cautela, porque después de cuatro años de actividades, ha tenido tiempo de difundirse por todas partes”, añaden.
Un hilo conductor
No obstante, desde Sekoia también creen que aunque China invierte en todas partes es plausible que el malware haya sido "desarrollado para recopilar inteligencia en varios países sobre las preocupaciones estratégicas y de seguridad asociadas con la Iniciativa de la Franja y la Ruta de China (Belt and Road Iniative o BRI), principalmente en sus aspectos marítimos y económicos".
La Iniciativa de la Franja y la Ruta es una estrategia de desarrollo de infraestructura global y cooperación internacional impulsada por la República Popular China que se lanzó en 2013 y que puede considerarse un pilar en la política exterior del gobierno de Xi Jinping. Se basa en el libre comercio entre naciones para constituir un orden basado en la estabilidad, inspirándose en las relaciones que se establecieron en la histórica Ruta de la Sefa.
El mencionado grupo de piratas informáticos Mustang Panda también suele apuntar a los gobiernos de los países involucrados en la Iniciativa de la Franja y la Ruta, según se hace eco The Record Media.