В январе 2026 года специалисты японской компании IIJ зафиксировали новую модификацию вредоносной программы PlugX, применяемой в целевых атаках. Анализ показал возможную связь кампании с группировкой UNC6384, которую связывают с китайскими кибершпионскими операциями. UNC6384 считают близкой к Mustang Panda и известной атаками на государственные структуры стран Юго-Восточной Азии, включая дипломатические представительства.
Новая версия распространяется через исполняемый файл «Browser_Updater.exe», маскирующийся под обновление браузера. После запуска программа отображает фальшивое окно установки, однако заражение происходит независимо от действий пользователя. С удалённого сервера загружается MSI-файл, который устанавливает компоненты вредоноса в каталог %LOCALAPPDATA%\pZhozR и запускает легитимный «Avk.exe» из состава антивируса G DATA. Далее применяется техника подмены библиотек: через DLL Sideloading загружается вредоносная «Avk.dll», инициирующая выполнение основного кода.
Разработчики использовали API Hashing для динамического разрешения системных функций, включая NtCreateFile и NtReadFile. Зашифрованный shell-код хранится в файле «AVKTray.dat» и расшифровывается в памяти, после чего активируется основная нагрузка PlugX. Такой подход усложняет статический анализ и снижает вероятность обнаружения.
Конфигурация вредоноса размещена в секции .data и зашифрована с применением RC4. В отличие от образцов, обнаруженных до декабря 2025 года, новая версия дополнительно кодирует параметры перед шифрованием. Ключ RC4 формируется из строки VOphJokPpbbQ, при этом используется только первые шесть символов.
После расшифровки и декодирования удалось извлечь адрес управляющего сервера — «fruitbrat[.]com». Дополнительный анализ показал совпадение ответов этого домена с IP-адресом 108.165.255.97, что указывает на возможную связь инфраструктуры. Оба узла принимают соединения по порту 443.
Для закрепления в системе вредонос копирует файлы в каталог %public%\GData и создаёт ключ автозапуска в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data. В конфигурации также обнаружена строка arp, предположительно обозначающая имя кампании.
IIJ отмечает, что активность PlugX сохраняется с прошлого года, при этом разработчики регулярно дорабатывают механизмы сокрытия. С учётом технических совпадений с ранее описанным инструментарием, опубликованным Google Threat Intelligence Group, кампания укладывается в известную модель операций UNC6384.