PlugX: El malware chino que puso en jaque a gobiernos y empresas, y cómo fue eliminado

El Departamento de Justicia de Estados Unidos y el FBI anunciaron la finalización de una operación internacional que, con el apoyo de fuerzas de seguridad francesas y el sector privado, logró eliminar el malware "PlugX" de miles de computadoras infectadas. Según documentos judiciales del Distrito Este de Pensilvania, el malware fue desarrollado y empleado por un grupo de hackers patrocinado por la República Popular China (RPC), conocido como "Mustang Panda" o "Twill Typhoon". Este grupo utilizó el software malicioso para espiar, controlar dispositivos y robar información confidencial de sus víctimas, entre ellas gobiernos, empresas y grupos disidentes.

De acuerdo con la información revelada, Mustang Panda llevó a cabo ataques cibernéticos desde al menos 2014, infiltrándose en sistemas informáticos de Estados Unidos, Europa, Asia y organizaciones críticas. A pesar de los constantes informes de ciberseguridad, miles de computadoras permanecieron infectadas, lo que motivó la intervención directa del Departamento de Justicia. La operación permitió desactivar la versión de PlugX diseñada específicamente para estas actividades de espionaje, evitando posibles daños futuros a los sistemas afectados.

"El Departamento de Justicia prioriza la interrupción proactiva de las amenazas cibernéticas para proteger a las víctimas estadounidenses de cualquier daño", afirmó Matthew Olsen, fiscal general adjunto de la División de Seguridad Nacional. Olsen también destacó el papel fundamental de la cooperación internacional, subrayando el liderazgo de los socios franceses en esta operación global.

Por su parte, Bryan Vorndran, subdirector de la División Cibernética del FBI, explicó: "Aprovechando nuestra colaboración con las fuerzas de seguridad francesas, el FBI actuó para proteger los ordenadores estadounidenses de nuevos ataques". Asimismo, enfatizó que esta acción reafirma el compromiso de la agencia en la lucha contra las ciberamenazas patrocinadas por Estados nacionales.

La operación comenzó en agosto de 2024, cuando el Departamento de Justicia obtuvo la primera de nueve órdenes judiciales que autorizaron la eliminación del malware en computadoras ubicadas en territorio estadounidense. La última de estas órdenes expiró el 3 de enero de 2025, marcando la conclusión de la fase estadounidense de la operación. En total, se logró desinfectar aproximadamente 4,258 computadoras y redes en Estados Unidos.

Jacqueline Romero, fiscal federal del Distrito Este de Pensilvania, calificó el ataque como un acto imprudente y agresivo por parte de los hackers chinos. Romero subrayó que la operación autorizada por el tribunal refleja un enfoque integral y colaborativo para defender la ciberseguridad en el país. Wayne Jacobs, agente especial a cargo de la oficina del FBI en Filadelfia, detalló que la agencia identificó miles de computadoras afectadas.

El FBI trabajó en estrecha colaboración con Sekoia.io, una empresa privada de ciberseguridad con sede en Francia, que identificó e informó sobre la vulnerabilidad. La empresa probó y confirmó que los comandos empleados en la operación no afectaban el funcionamiento normal de los sistemas ni recolectaban información privada de los dispositivos infectados.

Actualmente, el FBI está notificando a los propietarios de las computadoras reparadas, a través de sus respectivos proveedores de servicios de Internet. Allí les informará sobre la eliminación del malware y las medidas adoptadas para garantizar su seguridad.