Nhóm APT Mustang Panda đang tiến hành một chiến dịch tấn công mạng nhằm vào nhiều quốc gia tại châu Á như Việt Nam, Đài Loan và Malaysia. Trong chiến dịch này, Mustang Panda sử dụng một phiên bản biến thể của mã độc backdoor PlugX, được gọi là DOPLUGS.

Nhóm APT Mustang Panda đã hoạt động từ năm 2012, chủ yếu nhằm vào các tổ chức chính phủ, viện nghiên cứu, tổ chức phi chính phủ ở châu Âu và châu Mỹ, và thậm chí cả các tổ chức tôn giáo tại Vatican.

Tuy nhiên, trong các chiến dịch gần đây, nhóm này đã chuyển mục tiêu sang các quốc gia châu Á như Đài Loan, Hồng Kông, Mông Cổ, Tibet và Myanmar. Vào năm 2022, Mustang Panda đã sử dụng các báo cáo về tình hình chiến sự tại Ukraine và báo cáo từ chính phủ Ukraine làm mồi nhử để dẫn dụ người dùng mở các tệp này, từ đó, quá trình lây nhiễm mã độc sẽ bắt đầu triển khai trên thiết bị.

Trong chiến dịch mới nhất, nhóm APT Mustang Panda đã sử dụng một biến thể của mã độc PlugX có tên là DOPLUGS, đi kèm với một module backdoor hoàn chỉnh. Phân tích mã độc đã phát hiện ra sự tồn tại của module KillSomeOne hỗ trợ khả năng lây lan qua USB, module này đã được phát hiện lần đầu vào tháng 11/2020.

Trong các chiến dịch tấn công, Mustang Panda thực hiện tấn công spear-phishing bằng cách gửi các tập tin văn bản với nội dung mang tính thời sự như cuộc bầu cử tổng thống Đài Loan diễn ra vào tháng 01/2024 để làm mồi nhử. Các email spearphishing chứa đường dẫn Google Drive đến các tệp được bảo vệ bằng mật khẩu, mục đích là để tải xuống mã độc DOPLUGS.

Mã độc DOPLUGS có chức năng như một bộ tải và hỗ trợ thực thi bốn câu lệnh backdoor khác nhau. Một trong số đó là để tải xuống mã độc PlugX. Trong mẫu phân tích DOPLUGS, có chứa module KillSomeOne và sử dụng thành phần thực thi file thực thi hợp pháp để thực hiện DLLsideloading. Thành phần này cũng tải thêm mã độc giai đoạn kế tiếp từ một máy chủ từ xa.