L’intera operazione è stata gestita dal Centre de lutte contre les criminalités numériques (C3N) della Gendarmerie nationale, anche con l’apporto di una società di cybersecurity transalpina. Nel dettaglio è stato acquisito il controllo di un server di comando e controllo per una variante del malware PlugX diffuso ad aprile scorso.
Nell’ambito di un’operazione coordinata dalla polizia transalpina e da Europol – che di recente ha pubblicato l’edizione 2024 dell’Internet Organized Crime Threat Assessment (IOCTA), sviscerando l’ecosistema criminale online – per ripulire tutti i pc infetti dal malware PlugX, è stato progettato un payload in grado di fare autodistruggere il software malevolo (che si diffonde mediante unità USB e in grado di infettare reti interne aziendali e domestiche, sottraendo documenti).
Descritta da Security Affairs, l’intera operazione – che ha coinvolto anche Malta, Portogallo, Croazia, Austria e Slovacchia – è stata gestita dal Centre de lutte contre les criminalités numériques (C3N) della Gendarmerie nationale con il supporto della società di cybersecurity Sekoia (qui il report dedicato), con sede a Parigi, che ha preso il controllo di un server di comando e controllo per una variante del malware PlugX diffusa tre mesi fa.
Malware fantasma che semina il panico
Facciamo un passo indietro. Nel 2020 un collettivo di cybercriminali asiatici ha attivato una variante di PlugX; a circa tre anni di distanza, i creatori di questo malware worm sono svaniti dalla scena e, per motivi ignoti, hanno lasciato il server di comando e controllo sfruttato per ottenere il controllo dei Pc infetti.
Si presume che il collettivo informatico criminale vicino a Pechino sospettasse di avere l’Fbi (di recente in allerta con un avviso di elevato rischio legato all’utilizzo malevolo di dispositivi Ubiquiti “EdgeRouter” da parte della famigerata Unità 26165, in campo per conto del Gru, l’intelligence militare russa) sulle loro tracce, ragione per cui lasciò abbandonate e indifese le attività di PlugX, e questo andò fuori controllo.
Dunque, parliamo di un trojan per l’accesso remoto ampiamente sfruttato da vari gruppi di criminali informatici cinesi che proseguono a modificarlo (e diffonderlo) in base alle urgenze delle campagne malevole in atto.
Olimpiadi di Parigi a rischio di cyberattacchi
Con le Olimpiadi di Parigi 2024 in corso, le autorità transalpine stanno prestando particolare attenzione alla sicurezza cibernetica. Un rapporto rilasciato il 15 luglio dall’azienda di cybersicurezza Intel 471 ha individuato l’esistenza di tanti domini fraudolenti a tema olimpico (ovvero, portali che si fingono legati ufficialmente alle Olimpiadi ma non lo sono) e di numerose attività connesse allo streaming illegale delle gare nonché alla vendita di biglietti e visti falsi per Parigi.
Senza dimenticare che da tempo, considerato il suo sostegno all’Ucraina nel conflitto di invasione russa, la Francia è nel mirino di attivisti informatici filorussi (gli stessi che si celano dietro un attacco hacker alla Germania dello scorso anno, come ha accusato la ministra degli Esteri tedesca, Annalena Baerbock). Oggi la presenza di PlugX su 3.000 sistemi francesi è stata considerata inaccettabile dalle autorità; da qui, l’avvio dell’operazione internazionale che procederà per tutto il 2024.