O Departamento de Justiça dos EUA (DoJ) anunciou na terça-feira que o FBI conduziu uma operação autorizada por tribunal para eliminar o malware PlugX de mais de 4.250 computadores infectados. Conhecido também como Korplug, o PlugX é um trojan de acesso remoto (RAT) amplamente associado a hackers patrocinados pelo Estado chinês, como o grupo Mustang Panda. O malware permite roubo de informações e controle remoto de dispositivos comprometidos.

Desde 2014, o Mustang Panda tem atacado milhares de sistemas, incluindo alvos nos EUA, Europa, Ásia e grupos dissidentes chineses. Entre os países afetados estão Taiwan, Hong Kong, Japão, Índia, Indonésia, entre outros. Essa operação de “desinfecção”, iniciada em julho de 2024, foi revelada pelo Escritório do Procurador de Paris e pela empresa de cibersegurança Sekoia.

O PlugX se espalha por dispositivos USB infectados, comunicando-se com servidores controlados por hackers para roubar dados. A Sekoia conseguiu neutralizar um servidor de comando em abril de 2024, gastando apenas US$ 7 para assumir o controle e emitir um comando de autodestruição. Esse comando eliminou arquivos e chaves de registro criados pelo malware, interrompeu sua execução e removeu completamente os vestígios do PlugX dos computadores afetados.

Segundo o FBI, essa ação não prejudicou arquivos legítimos nos dispositivos nos EUA, nem transmitiu outros dados. Em dezembro de 2024, a Sekoia informou que mais de 59 mil comandos de desinfecção foram emitidos para endereços IP em 10 países.

Autoridades descreveram a operação como uma resposta ao comportamento “imprudente e agressivo” de hackers estatais chineses. O sucesso da operação ressalta a importância da colaboração entre governos e empresas de cibersegurança para combater ameaças globais.