Trusted Design

Korplug RAT used to attack Vietnamese institutions

概要

Recently Malwarebytes got access to several elements of the espionage toolkit that has been captured attacking Vietnamese institutions. During the operation, the malware was used to dox 400,000 members of Vietnam Airlines. The payload, distributed disguised as antivirus, is a variant of Korplug RAT (aka PlugX) – a spyware with former associations with Chinese APT groups, and known from targeted attacks at important institutions of various countries. In this article we will describe the process of extracting the final payload out of it’s cover.

Created: 2026-02-23

Indicators

類似Pulses

Defending the White Elephant (score: 0.75)
APT group leveraging HT exploits to target a Financial Services (score: 0.68)
Payloads from MS15-093 (PlugX) (score: 0.67)
Operation Potao Express (score: 0.65)
BBSRAT Attacks Targeting Russian Organizations (score: 0.62)

このPulseに関連する脅威アクター (事実ベース)

Kimsuky

Score: 7.77

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware
T1608.005 - Link Target

MITREへのリンク →

FIN13

Score: 5.76

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware

MITREへのリンク →

Moonstone Sleet

Score: 6.19

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1547.008 - LSASS Driver

MITREへのリンク →

Lazarus Group

Score: 14.43

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware
T1608.005 - Link Target
T1055.005 - Thread Local Storage
T1547.008 - LSASS Driver

MITREへのリンク →

Contagious Interview

Score: 6.63

Matched TTPs:

T1606.002 - SAML Tokens
T1608.005 - Link Target
T1547.008 - LSASS Driver

MITREへのリンク →

OilRig

Score: 15.93

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1005 - Data from Local System
T1212 - Exploitation for Credential Access
T1128 - Netsh Helper DLL
T1547.008 - LSASS Driver

MITREへのリンク →

UNC3886

Score: 4.19

Matched TTPs:

T1606.002 - SAML Tokens
T1588.001 - Malware

MITREへのリンク →

Sandworm Team

Score: 7.51

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1005 - Data from Local System

MITREへのリンク →

APT29

Score: 6.63

Matched TTPs:

T1606.002 - SAML Tokens
T1608.005 - Link Target
T1547.008 - LSASS Driver

MITREへのリンク →

RedCurl

Score: 4.84

Matched TTPs:

T1606.002 - SAML Tokens
T1128 - Netsh Helper DLL

MITREへのリンク →

Turla

Score: 8.83

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1608.005 - Link Target
T1212 - Exploitation for Credential Access

MITREへのリンク →

Ke3chang

Score: 3.66

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT

MITREへのリンク →

Mustang Panda

Score: 9.81

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1608.005 - Link Target
T1055.005 - Thread Local Storage

MITREへのリンク →

TeamTNT

Score: 3.66

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT

MITREへのリンク →

FIN7

Score: 7.77

Matched TTPs:

T1606.002 - SAML Tokens
T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware
T1608.005 - Link Target

MITREへのリンク →

APT39

Score: 5.41

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1599 - Network Boundary Bridging

MITREへのリンク →

APT38

Score: 6.11

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1059.005 - Visual Basic

MITREへのリンク →

Volt Typhoon

Score: 4.72

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1212 - Exploitation for Credential Access

MITREへのリンク →

Earth Lusca

Score: 3.58

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1608.005 - Link Target

MITREへのリンク →

Storm-1811

Score: 11.56

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1599 - Network Boundary Bridging
T1578.002 - Create Cloud Instance
T1547.008 - LSASS Driver

MITREへのリンク →

ZIRCONIUM

Score: 5.68

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware
T1608.005 - Link Target

MITREへのリンク →

MuddyWater

Score: 3.58

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1608.005 - Link Target

MITREへのリンク →

Gamaredon Group

Score: 3.58

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1608.005 - Link Target

MITREへのリンク →

Threat Group-3390

Score: 5.70

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1218.003 - CMSTP

MITREへのリンク →

APT28

Score: 12.66

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1608.005 - Link Target
T1146 - Clear Command History
T1546.007 - Netsh Helper DLL

MITREへのリンク →

Winter Vivern

Score: 3.66

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware

MITREへのリンク →

Tropic Trooper

Score: 4.31

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1128 - Netsh Helper DLL

MITREへのリンク →

Higaisa

Score: 3.66

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1588.001 - Malware

MITREへのリンク →

Ember Bear

Score: 3.84

Matched TTPs:

T1005 - Data from Local System

MITREへのリンク →

Medusa Group

Score: 8.89

Matched TTPs:

T1218.003 - CMSTP
T1608.005 - Link Target
T1128 - Netsh Helper DLL

MITREへのリンク →

APT32

Score: 4.11

Matched TTPs:

T1588.001 - Malware
T1608.005 - Link Target

MITREへのリンク →

Wizard Spider

Score: 6.23

Matched TTPs:

T1588.001 - Malware
T1567.001 - Exfiltration to Code Repository

MITREへのリンク →

FIN6

Score: 7.36

Matched TTPs:

T1588.001 - Malware
T1128 - Netsh Helper DLL
T1547.008 - LSASS Driver

MITREへのリンク →

Magic Hound

Score: 10.25

Matched TTPs:

T1588.001 - Malware
T1608.005 - Link Target
T1578.002 - Create Cloud Instance
T1547.008 - LSASS Driver

MITREへのリンク →

TA2541

Score: 4.76

Matched TTPs:

T1608.005 - Link Target
T1128 - Netsh Helper DLL

MITREへのリンク →

APT33

Score: 4.13

Matched TTPs:

T1567.001 - Exfiltration to Code Repository

MITREへのリンク →

Tonto Team

Score: 3.15

Matched TTPs:

T1212 - Exploitation for Credential Access

MITREへのリンク →

HEXANE

Score: 3.15

Matched TTPs:

T1212 - Exploitation for Credential Access

MITREへのリンク →

admin@338

Score: 3.15

Matched TTPs:

T1212 - Exploitation for Credential Access

MITREへのリンク →

Chimera

Score: 3.15

Matched TTPs:

T1212 - Exploitation for Credential Access

MITREへのリンク →

APT42

Score: 6.59

Matched TTPs:

T1599 - Network Boundary Bridging
T1128 - Netsh Helper DLL

MITREへのリンク →

Dragonfly

Score: 3.62

Matched TTPs:

T1578.002 - Create Cloud Instance

MITREへのリンク →

APT3

Score: 3.62

Matched TTPs:

T1578.002 - Create Cloud Instance

MITREへのリンク →

Equation

Score: 4.13

Matched TTPs:

T1130 - Install Root Certificate

MITREへのリンク →

Strider

Score: 4.13

Matched TTPs:

T1130 - Install Root Certificate

MITREへのリンク →

Axiom

Score: 4.54

Matched TTPs:

T1160 - Launch Daemon

MITREへのリンク →

Blue Mockingbird

Score: 4.54

Matched TTPs:

T1001.001 - Junk Data

MITREへのリンク →

このPulseに関連する脅威アクター (推論ベース)

OilRig

Score: 0.82

Matched TTPs:

T1128 - Netsh Helper DLL
T1059.010 - AutoHotKey & AutoIT
T1212 - Exploitation for Credential Access
T1606.002 - SAML Tokens
T1547.008 - LSASS Driver
T1005 - Data from Local System

MITREへのリンク →

Lazarus Group

Score: 0.76

Matched TTPs:

T1608.005 - Link Target
T1059.010 - AutoHotKey & AutoIT
T1606.002 - SAML Tokens
T1055.005 - Thread Local Storage
T1547.008 - LSASS Driver
T1588.001 - Malware

MITREへのリンク →

APT28

Score: 0.68

Matched TTPs:

T1608.005 - Link Target
T1546.007 - Netsh Helper DLL
T1059.010 - AutoHotKey & AutoIT
T1146 - Clear Command History

MITREへのリンク →

Storm-1811

Score: 0.63

Matched TTPs:

T1059.010 - AutoHotKey & AutoIT
T1599 - Network Boundary Bridging
T1547.008 - LSASS Driver
T1578.002 - Create Cloud Instance

MITREへのリンク →

Magic Hound

Score: 0.58

Matched TTPs:

T1608.005 - Link Target
T1588.001 - Malware
T1547.008 - LSASS Driver
T1578.002 - Create Cloud Instance

MITREへのリンク →

Mustang Panda

Score: 0.57

Matched TTPs:

T1608.005 - Link Target
T1059.010 - AutoHotKey & AutoIT
T1055.005 - Thread Local Storage
T1606.002 - SAML Tokens

MITREへのリンク →

Related CVEs

このPulseに見つかったCVEはありません。

Pulse – 脅威アクターグラフ

← Pulse一覧に戻る