El Departamento de Justicia de Estados Unidos (DoJ) y el Buró Federal de Investigaciones (FBI) confirmaron la eliminación remota de archivos maliciosos en 4.258 computadoras ubicadas en territorio estadounidense. Según informó el DoJ, esta operación, autorizada por órdenes judiciales, se centró en erradicar una variante del malware conocido como PlugX, utilizado por un grupo de hackers patrocinado por el gobierno de la República Popular China (RPC).
De acuerdo con un comunicado del Departamento de Justicia , el malware PlugX fue desarrollado específicamente por el grupo de cibercriminales conocido como Mustang Panda o Twill Typhoon, quienes han estado activos desde al menos 2014. Este software malicioso permite a los atacantes tomar el control de los sistemas infectados y robar información confidencial.
Según detalló el DoJ, el gobierno chino habría financiado a Mustang Panda para crear esta versión de PlugX, que ha sido utilizada en campañas dirigidas contra víctimas en Estados Unidos, así como contra gobiernos y empresas en Europa y Asia, además de grupos disidentes chinos.
El FBI, en colaboración con socios internacionales, llevó a cabo esta operación durante varios meses, obteniendo la primera de nueve órdenes judiciales en agosto de 2024 en el Distrito Este de Pensilvania. Estas autorizaciones permitieron al FBI acceder de manera remota a las computadoras infectadas y eliminar los archivos maliciosos sin afectar las funciones legítimas de los dispositivos. La última orden judicial expiró el 3 de enero de 2025, marcando el fin de la fase estadounidense de esta operación.
En un comunicado, Bryan Vorndran, director asistente de la División Cibernética del FBI, destacó que esta acción reafirma el compromiso de la agencia para proteger a los ciudadanos estadounidenses frente a amenazas cibernéticas patrocinadas por estados. “El FBI actuó para proteger las computadoras estadounidenses de compromisos adicionales por parte de hackers respaldados por el gobierno chino”, afirmó Vorndran.
Colaboración internacional
La operación no se limitó a territorio estadounidense. Según consignó el DoJ, la acción fue parte de un esfuerzo internacional liderado por las autoridades francesas y la empresa de ciberseguridad Sekoia.io, con sede en Francia. Esta compañía identificó y reportó la capacidad de enviar comandos para eliminar la versión de PlugX de los dispositivos infectados.
El FBI trabajó en estrecha colaboración con estos socios para probar y confirmar la efectividad de los comandos, asegurándose de que no interfirieran con las funciones legítimas de las computadoras afectadas. Por su parte, el Departamento de Justiciasubrayó la importancia de estas alianzas internacionales para enfrentar amenazas cibernéticas globales.
Matthew G. Olsen, asistente del Fiscal General de la División de Seguridad Nacional del DoJ, señaló que esta operación es un ejemplo de cómo la cooperación entre gobiernos y el sector privado puede contrarrestar actividades cibernéticas maliciosas. “Este esfuerzo, como otras operaciones recientes contra grupos de hackers chinos y rusos, demuestra la necesidad de asociaciones sólidas para defender la ciberseguridad global”, afirmó Olsen.
Impacto y alcance del malware PlugX
El malware PlugX, utilizado por Mustang Panda, ha sido descrito como una herramienta altamente peligrosa que permite a los atacantes infiltrarse en sistemas Windows y mantener el control a largo plazo sin que los propietarios de los dispositivos sean conscientes de la infección. Según el FBI, miles de computadoras en Estados Unidos, incluidas muchas de uso doméstico, fueron comprometidas por este software malicioso.
La fiscal federal Jacqueline Romero, del Distrito Este de Pensilvania, calificó esta campaña de ciberataques como un ejemplo de la “imprudencia y agresividad” de los hackers respaldados por la RPC. Romero destacó que la eliminación del malware PlugX demuestra el compromiso del DoJ con un enfoque integral para proteger la ciberseguridad en Estados Unidos.
El FBI está notificando a los propietarios de las computadoras afectadas a través de sus proveedores de servicios de internet, informándoles sobre la eliminación del malware. Además, la agencia continúa investigando las actividades de intrusión informática de Mustang Panda y ha instado a los usuarios a tomar medidas preventivas para evitar futuras infecciones.
Entre las recomendaciones del FBI se incluye el uso de software antivirus actualizado y la instalación de parches de seguridad en los sistemas operativos. Asimismo, la agencia ha puesto a disposición su Centro de Quejas de Delitos en Internet (IC3) para que las personas que sospechen que sus dispositivos han sido comprometidos puedan reportar el incidente.