PlugXとは【用語集詳細】
PlugXはリモートアクセス型トロイの木馬です。
2000年代から中国系APTによる利用が観測されており、亜種や機能拡張などを経て現在でも運用されているマルウェアです。Korplugという名称でも知られています。
標的のシステムに侵入後、HTTPやDNS、リバースシェルを通じたC2サーバーとの通信を確立し、レジストリの改変やDLLのハイジャックを通じて継続性を確保し、キーロギングやネットワーク内の探索、スクリーンキャプチャなどの情報窃取活動を行います。
PlugXはWinntiやAPT3、Mustang Pandaなど複数のAPTに利用されています。
2015年、米連邦政府人事管理局(OPM)に対して行われた大規模なハッキングおよび情報漏洩の事案では、PlugXマルウェアが用いられました。
またこのマルウェアの亜種は、USBデバイスを通じて感染する能力を保有することが確認されており、エアギャップ処置された機密システムへの侵入を狙ったものではないかと推測されます。
2023年には、正規ソフトを装った偽のインストーラを通じて、香港や東アジア特定地域に向けた拡散キャンペーンに利用されていることが報じられました。
