Souvenez-vous: en septembre 2023, les chercheurs de l’entreprise française de cybersécurité Sekoia arrivent à prendre la main sur le malware PlugX. Ses analystes avaient remarqué une grosse bourde des attaquants. L’une des adresses IP utilisées pour héberger le serveur de commande n’était plus attribuée.
En dépensant la modique somme de sept dollars, Sekoia avait alors pu prendre le contrôle du botnet. Cette prise de contrôle avait débouché, en juillet dernier, sur le lancement d’une opération de désinfection des terminaux parasités par PlugX. L’entreprise avait identifié deux approches: le nettoyage du seul poste de travail et une deuxième, plus intrusive, désinfectant à la fois le terminal et les éventuelles clés usb infectées rattachées.
Cinq mois plus tard, Sekoia vient de dévoiler le bilan de cette opération. “Plus d’une vingtaine de pays” ont répondu à l’appel de l’entreprise, signale-t-elle dans un billet de blog publié à la fin décembre. Plus précisément, 34 pays ont demandé les journaux permettant d’identifier les réseaux compromis. Puis 22 nations ont fait part de leur intérêt pour ce processus de désinfection.
PlugX worm disinfection campaign feedbacks
— TMJ Intel (@tmjintel.bsky.social) 30 décembre 2024 à 17:33
Dix pays embarqués
Avec au final l’établissement d’un cadre juridique avec dix pays pour lancer les opérations de nettoyage. Au total, 59 475 charges utiles de désinfection, visant 5 539 adresses IP, ont été envoyées. “Le nombre relativement faible d’adresses IP recevant les charges utiles n’est pas surprenant”, signale Sekoia.
“Les pays demandant la désinfection n’étaient pas les plus infectés et certains pays n’ont ajouté que des systèmes autonomes et ou des adresses IP spécifiques”, précise l’entreprise. En septembre 2023, Sekoia avait signalé une fourchette de 90 à 100 000 adresses IP publiques uniques infectées envoyant quotidiennement des requêtes.
Concrètement, l’entreprise de cybersécurité a mis en place un portail permettant à chaque nation de lancer le nettoyage des terminaux situés dans son périmètre. “Cette campagne de désinfection a été pour nous une première en son genre, une preuve de concept de désinfection souveraine”, souligne la firme. Une opération permise grâce à l’implication du parquet de Paris et des cybergendarmes, salue-t-elle enfin.
Programme incontrôlable
Repéré à la fin des années 2000, PlugX avait été utilisé au départ dans des attaques ciblées par plusieurs groupes de type APT, ces groupes d’attaquants sophistiqués. Mais le programme malveillant, qui permettait d’ouvrir une porte dérobée chez la victime, avait été utilisé par de nombreux groupes au fil des ans, compliquant l’attribution.
PlugX avait enfin été doté de capacités de type ver en 2020, lui permettant notamment de se propager via des clés USB infectées.
Mauvaise idée: le programme malveillant était devenu incontrôlable. Son interface de gestion n’avait pas été conçue pour “gérer des milliers d’hôtes infectés”. Revers de cette bourde: il est probable que le ver ne puisse pas être complètement arrêté, rappelle Sekoia.