La France et les États-Unis ont uni leurs forces pour éradiquer PlugX, un redoutable botnet utilisé à des fins d’espionnage. Exploité par des pirates chinois, le malware a été supprimé de plus de 4 000 ordinateurs à travers les États-Unis. Le FBI a en effet pu convaincre le virus de s’autodétruire.
En juillet dernier, la France a mené une vaste « opération de désinfection » contre PlugX, un « réseau de machines zombies » massivement exploité à des « fins d’espionnage ». Les autorités françaises ont désinstallé de force le malware sur plus de 3 000 ordinateurs avec l’aide d’Europol et des chercheurs de Sekoia.
Entre le mois d’aout 2024 et janvier 2025, les États-Unis ont réalisé une opération analogue pour se débarrasser de PlugX sur le sol américain. Comme l’explique le ministère de la Justice, le FBI est parvenu à supprimer le virus de plus de 4 200 ordinateurs éparpillés à travers le pays.
« En s’appuyant sur notre partenariat avec les forces de l’ordre françaises, le FBI est intervenu pour protéger les ordinateurs américains contre de nouvelles compromissions », indique le communiqué, précisant que l’opération internationale était dirigée par la France.
À lire aussi : Les 10 cyberattaques qui ont marqué la France en 2024
Une commande d’autodestruction
Le malware visait à prendre le contrôle de l’appareil et à exfiltrer des données. La cyberattaque a uniquement touché des « ordinateurs Windows », dont des machines utilisées par des particuliers.
Pour effacer le malware des ordinateurs infectés, le FBI a envoyé une commande dédiée au botnet. Celle-ci a ordonné au virus de s’autodétruire, notamment en supprimant tous les fichiers créés par ses soins. La police fédérale américaine prévient désormais toutes les personnes dont l’ordinateur a été victime de PlugX. L’avertissement est émis par le biais du fournisseur d’accès à Internet.
« Les propriétaires d’ordinateurs encore infectés par PlugX ne sont généralement pas conscients de l’infection », souligne le ministère de la Justice des États-Unis.
Une attaque venue de Chine
Les autorités américaines associent PlugX à un gang de cybercriminels chinois appelé Mustang Panda, ou Twill Typhoon. Actif depuis plus d’une décennie, le groupe a orchestré des cyberattaques contre des entités américaines, des gouvernements européens et asiatiques pour le compte de Pékin. En miroir de Salt Typhoon ou Silk Typhoon, Twill Typhoon est financé par la Chine.
Ce n’est pas la seule opération d’espionnage orchestrée par des pirates chinois à l’encontre des États-Unis. Ces derniers mois, plusieurs opérateurs américains ont été infiltrés par des hackers mandatés par Pékin. En se glissant dans les réseaux de neuf opérateurs, les pirates ont pu espionner les communications de plusieurs personnes haut-placées, dont le futur président Donald Trump. On ignore si les espions chinois ont été totalement éjectés des réseaux américains. Le FBI recommande donc aux citoyens américains de privilégier l’utilisation de messageries chiffrées de bout en bout plutôt que les appels téléphoniques ou les SMS pour communiquer.
De son côté, PlugX est exploité par des groupes criminels depuis au moins 2008. Il est surtout utilisé par des pirates qui collaborent avec des gouvernements. Le code source du virus se serait retrouvé sur la toile en 2015, ce qui a abouti à la conception d’une pléthore de variantes. Le logiciel malveillant est programmé pour siphonner des données, enregistrer tout ce que l’utilisateur tape sur le clavier et pour exécuter des commandes à distance.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Justice.gov