Trusted Design

Korplug RAT used to attack Vietnamese institutions

概要

Recently Malwarebytes got access to several elements of the espionage toolkit that has been captured attacking Vietnamese institutions. During the operation, the malware was used to dox 400,000 members of Vietnam Airlines. The payload, distributed disguised as antivirus, is a variant of Korplug RAT (aka PlugX) – a spyware with former associations with Chinese APT groups, and known from targeted attacks at important institutions of various countries. In this article we will describe the process of extracting the final payload out of it’s cover.

Created: 2026-02-23

Indicators

類似Pulses

Defending the White Elephant (score: 0.75)
APT group leveraging HT exploits to target a Financial Services (score: 0.68)
Payloads from MS15-093 (PlugX) (score: 0.67)
Operation Potao Express (score: 0.65)
BBSRAT Attacks Targeting Russian Organizations (score: 0.62)

このPulseに関連する脅威アクター (事実ベース)

Kimsuky

Score: 7.77

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service
T1583.006 - Web Services

MITREへのリンク →

FIN13

Score: 5.76

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service

MITREへのリンク →

Moonstone Sleet

Score: 6.19

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1566.003 - Spearphishing via Service

MITREへのリンク →

Lazarus Group

Score: 14.43

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service
T1583.006 - Web Services
T1027.007 - Dynamic API Resolution
T1566.003 - Spearphishing via Service

MITREへのリンク →

Contagious Interview

Score: 6.63

Matched TTPs:

T1587.001 - Malware
T1583.006 - Web Services
T1566.003 - Spearphishing via Service

MITREへのリンク →

OilRig

Score: 15.93

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1195 - Supply Chain Compromise
T1069.001 - Local Groups
T1573.002 - Asymmetric Cryptography
T1566.003 - Spearphishing via Service

MITREへのリンク →

UNC3886

Score: 4.19

Matched TTPs:

T1587.001 - Malware
T1036.004 - Masquerade Task or Service

MITREへのリンク →

Sandworm Team

Score: 7.51

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1195 - Supply Chain Compromise

MITREへのリンク →

APT29

Score: 6.63

Matched TTPs:

T1587.001 - Malware
T1583.006 - Web Services
T1566.003 - Spearphishing via Service

MITREへのリンク →

RedCurl

Score: 4.84

Matched TTPs:

T1587.001 - Malware
T1573.002 - Asymmetric Cryptography

MITREへのリンク →

Turla

Score: 8.83

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1583.006 - Web Services
T1069.001 - Local Groups

MITREへのリンク →

Ke3chang

Score: 3.66

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Mustang Panda

Score: 9.81

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1583.006 - Web Services
T1027.007 - Dynamic API Resolution

MITREへのリンク →

TeamTNT

Score: 3.66

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

FIN7

Score: 7.77

Matched TTPs:

T1587.001 - Malware
T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service
T1583.006 - Web Services

MITREへのリンク →

APT39

Score: 5.41

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1056 - Input Capture

MITREへのリンク →

APT38

Score: 6.11

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1036.006 - Space after Filename

MITREへのリンク →

Volt Typhoon

Score: 4.72

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1069.001 - Local Groups

MITREへのリンク →

Earth Lusca

Score: 3.58

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1583.006 - Web Services

MITREへのリンク →

Storm-1811

Score: 11.56

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1056 - Input Capture
T1036.010 - Masquerade Account Name
T1566.003 - Spearphishing via Service

MITREへのリンク →

ZIRCONIUM

Score: 5.68

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service
T1583.006 - Web Services

MITREへのリンク →

MuddyWater

Score: 3.58

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1583.006 - Web Services

MITREへのリンク →

Gamaredon Group

Score: 3.58

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1583.006 - Web Services

MITREへのリンク →

Threat Group-3390

Score: 5.70

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1608.002 - Upload Tool

MITREへのリンク →

APT28

Score: 12.66

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1583.006 - Web Services
T1498 - Network Denial of Service
T1669 - Wi-Fi Networks

MITREへのリンク →

Winter Vivern

Score: 3.66

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service

MITREへのリンク →

Tropic Trooper

Score: 4.31

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1573.002 - Asymmetric Cryptography

MITREへのリンク →

Higaisa

Score: 3.66

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service

MITREへのリンク →

Ember Bear

Score: 3.84

Matched TTPs:

T1195 - Supply Chain Compromise

MITREへのリンク →

Medusa Group

Score: 8.89

Matched TTPs:

T1608.002 - Upload Tool
T1583.006 - Web Services
T1573.002 - Asymmetric Cryptography

MITREへのリンク →

APT32

Score: 4.11

Matched TTPs:

T1036.004 - Masquerade Task or Service
T1583.006 - Web Services

MITREへのリンク →

Wizard Spider

Score: 6.23

Matched TTPs:

T1036.004 - Masquerade Task or Service
T1552.006 - Group Policy Preferences

MITREへのリンク →

FIN6

Score: 7.36

Matched TTPs:

T1036.004 - Masquerade Task or Service
T1573.002 - Asymmetric Cryptography
T1566.003 - Spearphishing via Service

MITREへのリンク →

Magic Hound

Score: 10.25

Matched TTPs:

T1036.004 - Masquerade Task or Service
T1583.006 - Web Services
T1036.010 - Masquerade Account Name
T1566.003 - Spearphishing via Service

MITREへのリンク →

TA2541

Score: 4.76

Matched TTPs:

T1583.006 - Web Services
T1573.002 - Asymmetric Cryptography

MITREへのリンク →

APT33

Score: 4.13

Matched TTPs:

T1552.006 - Group Policy Preferences

MITREへのリンク →

Tonto Team

Score: 3.15

Matched TTPs:

T1069.001 - Local Groups

MITREへのリンク →

HEXANE

Score: 3.15

Matched TTPs:

T1069.001 - Local Groups

MITREへのリンク →

admin@338

Score: 3.15

Matched TTPs:

T1069.001 - Local Groups

MITREへのリンク →

Chimera

Score: 3.15

Matched TTPs:

T1069.001 - Local Groups

MITREへのリンク →

APT42

Score: 6.59

Matched TTPs:

T1056 - Input Capture
T1573.002 - Asymmetric Cryptography

MITREへのリンク →

Dragonfly

Score: 3.62

Matched TTPs:

T1036.010 - Masquerade Account Name

MITREへのリンク →

APT3

Score: 3.62

Matched TTPs:

T1036.010 - Masquerade Account Name

MITREへのリンク →

Equation

Score: 4.13

Matched TTPs:

T1564.005 - Hidden File System

MITREへのリンク →

Strider

Score: 4.13

Matched TTPs:

T1564.005 - Hidden File System

MITREへのリンク →

Axiom

Score: 4.54

Matched TTPs:

T1001.002 - Steganography

MITREへのリンク →

Blue Mockingbird

Score: 4.54

Matched TTPs:

T1574.012 - COR_PROFILER

MITREへのリンク →

このPulseに関連する脅威アクター (推論ベース)

OilRig

Score: 0.82

Matched TTPs:

T1566.003 - Spearphishing via Service
T1573.002 - Asymmetric Cryptography
T1587.001 - Malware
T1195 - Supply Chain Compromise
T1069.001 - Local Groups
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Lazarus Group

Score: 0.76

Matched TTPs:

T1566.003 - Spearphishing via Service
T1583.006 - Web Services
T1587.001 - Malware
T1027.007 - Dynamic API Resolution
T1140 - Deobfuscate/Decode Files or Information
T1036.004 - Masquerade Task or Service

MITREへのリンク →

APT28

Score: 0.68

Matched TTPs:

T1498 - Network Denial of Service
T1669 - Wi-Fi Networks
T1583.006 - Web Services
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Storm-1811

Score: 0.63

Matched TTPs:

T1036.010 - Masquerade Account Name
T1566.003 - Spearphishing via Service
T1056 - Input Capture
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Magic Hound

Score: 0.58

Matched TTPs:

T1036.010 - Masquerade Account Name
T1566.003 - Spearphishing via Service
T1583.006 - Web Services
T1036.004 - Masquerade Task or Service

MITREへのリンク →

Mustang Panda

Score: 0.57

Matched TTPs:

T1587.001 - Malware
T1027.007 - Dynamic API Resolution
T1583.006 - Web Services
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Related CVEs

このPulseに見つかったCVEはありません。

Pulse – 脅威アクターグラフ

← Pulse一覧に戻る