Lmst

China-nexus Threat Actor Targets Persian Gulf Region With PlugX

A China-nexus threat actor targeted countries in the Persian Gulf region using a multi-stage attack chain to deploy a PlugX backdoor variant. The campaign exploited the renewed Middle East conflict, using an Arabic-language document lure depicting missile attacks. The attack utilized a ZIP archive containing a malicious Windows shortcut file, which downloaded a CHM file leading to the deployment of PlugX. The malware employed various obfuscation techniques, including control flow flattening and mixed boolean arithmetic. The PlugX variant supported HTTPS for command-and-control communication and DNS-over-HTTPS for domain resolution. Based on the tools and tactics used, the activity is attributed to a China-nexus actor, possibly linked to Mustang Panda.

Pulse ID: 69b7dacde783e4b5dec19bde
Pulse Link: https://otx.alienvault.com/pulse/69b7dacde783e4b5dec19bde
Pulse Author: AlienVault
Created: 2026-03-16 10:26:21

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Arabic #BackDoor #China #CyberSecurity #DNS #HTTP #HTTPS #ICS #InfoSec #Malware #MiddleEast #OTX #OpenThreatExchange #PlugX #Windows #ZIP #bot #AlienVault

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

PlugX Meeting Invitation via MSBuild and GDATA

Pulse ID: 69a757e4036551f15fbe4574
Pulse Link: https://otx.alienvault.com/pulse/69a757e4036551f15fbe4574
Pulse Author: Tr1sa111
Created: 2026-03-03 21:51:32

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #InfoSec #MSBuild #OTX #OpenThreatExchange #PlugX #bot #Tr1sa111

PlugX Meeting Invitation via MSBuild and GDATA

A recent PlugX campaign utilized phishing emails with a 'Meeting Invitation' lure to deploy malware through DLL side-loading. The infection chain begins with a zip file containing a malicious .csproj file and MSBuild executable. The .csproj file downloads three components: a legitimate G DATA Antivirus executable, a malicious Avk.dll (PlugX variant), and an encrypted AVKTray.dat file. The malware uses DLL side-loading, API hashing, and XOR encryption for obfuscation. It establishes persistence via the Run registry key and communicates with a command and control server. The campaign showcases PlugX's continued evolution while maintaining its core characteristics, highlighting its ongoing relevance in cyber-espionage operations.

Pulse ID: 69a3ce16b33dca316675f3f3
Pulse Link: https://otx.alienvault.com/pulse/69a3ce16b33dca316675f3f3
Pulse Author: AlienVault
Created: 2026-03-01 05:26:46

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #Email #Encryption #Espionage #ICS #InfoSec #MSBuild #Malware #OTX #OpenThreatExchange #Phishing #PlugX #RAT #ZIP #bot #cyberespionage #AlienVault

PlugX Meeting Invitation via MSBuild and GDATA

Pulse ID: 69a19ec30f2a3dc1cd0a8bbc
Pulse Link: https://otx.alienvault.com/pulse/69a19ec30f2a3dc1cd0a8bbc
Pulse Author: CyberHunter_NL
Created: 2026-02-27 13:40:19

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #InfoSec #MSBuild #OTX #OpenThreatExchange #PlugX #bot #CyberHunter_NL

The Latest PlugX Variant Executed by STATICPLUGIN

Pulse ID: 699fcc469f29056be52fd3a4
Pulse Link: https://otx.alienvault.com/pulse/699fcc469f29056be52fd3a4
Pulse Author: Tr1sa111
Created: 2026-02-26 04:29:58

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #InfoSec #OTX #OpenThreatExchange #PlugX #bot #Tr1sa111

The Latest PlugX Variant Executed by STATICPLUGIN

In January 2026, a new variant of the PlugX malware was observed being used in targeted attacks. Analysis suggests involvement of the UNC6384 APT group, linked to Mustang Panda, targeting government agencies in Southeast Asia. The malware uses a browser updater disguise to download and execute a malicious MSI file, leading to PlugX infection. The STATICPLUGIN downloader uses a revoked code-signing certificate from a Chinese company. The PlugX variant employs DLL sideloading and shellcode execution techniques. Its configuration is encrypted using RC4 and custom encoding. C2 servers were identified as fruitbrat[.]com and 108.165.255[.]97:443. The ongoing improvements to PlugX indicate its continued use in targeted attacks by APT groups.

Pulse ID: 699edea96aa1a8d035261fc9
Pulse Link: https://otx.alienvault.com/pulse/699edea96aa1a8d035261fc9
Pulse Author: AlienVault
Created: 2026-02-25 11:36:09

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Asia #Browser #Chinese #CyberSecurity #Government #InfoSec #Malware #OTX #OpenThreatExchange #PlugX #RAT #ShellCode #SideLoading #bot #AlienVault

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

⚠️ China-linked hackers (UNC6384) exploit unpatched Windows flaw CVE-2025-9491 to spy on EU diplomats. Attacks use malicious LNK files to deploy PlugX RAT. Microsoft has declined to patch the vulnerability. #CyberEspionage #ZeroDay #PlugX

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki

Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.

Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!

Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.

W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.

Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.

Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.

Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.

Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe

#0Day #ArsTechnica #CVE202559287 #CVE20259491 #cyberbezpieczeństwo #lukaWZabezpieczeniach #Microsoft #news #PlugX #TrendMicro #windows #WSUS #zeroDay

China-linked UNC6384 group targets European diplomats via spear-phishing & PlugX malware.
Attack exploited Windows flaw ZDI-CAN-25373.
Full story 👉 https://www.technadu.com/china-linked-hacking-group-targets-european-diplomatic-entities-in-espionage-campaign/612350/

#CyberSecurity #APT #PlugX #UNC6384 #CyberEspionage

China-Linked Hacking Group Targets European Diplomatic Entities in Espionage Campaign

UNC6384 setzt Windows-Zero-Day ein – PlugX gegen diplomatische Vertretungen in Ungarn und Belgien
Die Kampagne zielte auf diplomatische Einrichtungen in Ungarn und Belgien und breitete sich auf weitere europäische Einrichtungen aus. PlugX wird in Memory ausgeführt, um dauerhaften Fernzugriff und verdeckte Datensammlung zu ermöglichen.

https://www.all-about-security.de/unc6384-setzt-windows-zero-day-ein-plugx-gegen-diplomatische-vertretungen-in-ungarn-und-belgien/

#plugx #zeroday #cyberspionage #cyber
security #MalwareTools #malware #Spearphishing

🚨 PlugX & Bookworm RATs resurface in Asia’s telecom + ASEAN networks.
🔹 PlugX overlaps w/ Naikon + BackdoorDiplomacy
🔹 Bookworm = Mustang Panda’s long-lived modular RAT
🔹 DLL side-loading, RC4 key reuse, stealthy C2
💬 Do overlaps between APT toolkits weaken attribution?
👉 Follow @technadu for sharp threat intel.

#PlugX #Bookworm #MustangPanda #Naikon #BackdoorDiplomacy #ASEAN #APT #ThreatIntel #CyberSecurity #TechNadu

🚨 Menace cyber majeure en Asie : PlugX et Bookworm ciblent les télécoms. Nouveaux algorithmes de chiffrement et techniques d'évasion sophistiquées. #Cybersécurité #APT #ChinaHackers #PlugX #Bookworm https://lynxintel.io/menaces-plugx-et-bookworm-sur-les-reseaux-de-telecoms-asiatiques/

Google’s report on #UNC6384 lists this certificate as being used in C2 comms by Sogu (#PlugX variant):
eca96bd74fb6b22848751e254b6dc9b8e2721f96

Here’s an @anyrun_app execution, of AdobePlugins.exe on May 19, which runs CANONSTAGER as well as SOGU.SEC:
https://app.any.run/tasks/ce2745eb-edac-4e62-b5a9-5d9515b88bc4

It connects to the C2 server on 166.88.2[.]90, which actually provides a different certificate.
🔥 50f990235d7492431f57953cec14a478fb662c8d
🔥 SAN: *.crossfitolathe.com

PCAP file from https://app.any.run/tasks/ce2745eb-edac-4e62-b5a9-5d9515b88bc4 loaded in NetworkMiner 3.0 showing parameters extracted from frame 2775.

🚨 PRC-nexus UNC6384 targeting diplomats via captive portal hijacks.
⚡ Key tradecraft:
- Fake Adobe plugin updates delivered via Wi-Fi login redirects
- Valid TLS + signed GlobalSign certs abused
- PlugX is deployed in-memory via DLL sideloading

👉 Raises the question: if certs + HTTPS can be weaponized, what should defenders rely on?
🔔 Follow @technadu for ongoing threat intel.

#PlugX #APT #CyberSecurity #ThreatIntel #InfoSec

UNC6384 Deploys PlugX via Captive Portal Hijacks and Valid Certificates Targeting Diplomats

🆕We publish today the result of a deep-dive investigation into a malicious campaign leveraging #ShadowPad and #PlugX to distribute a previously-undocumented ransomware, dubbed #NailaoLocker.
This campaign targeted 🇪🇺 organizations during S2 2024 and is tied to Chinese TA 🇨🇳.

➡️The full article on the Green Nailao cluster is available here: https://orangecyberdefense.com/global/blog/cert-news/meet-nailaolocker-a-ransomware-distributed-in-europe-by-shadowpad-and-plugx-backdoors

➡️IOCs and Yara can be found on our GitHub: https://github.com/cert-orangecyberdefense/cti/tree/main/green_nailao