Se instala solo, no hace falta pulsar nada: nuevo virus ignora cualquier rechazo de los usuarios
El truco estuvo en la hábil sustitución de un único archivo del sistema.
En enero de 2026, especialistas de la empresa japonesa IIJ registraron una nueva modificación del malware PlugX, usado en ataques dirigidos. El análisis mostró una posible relación de la campaña con el grupo UNC6384, vinculado a operaciones de ciberespionaje chinas. UNC6384 se considera cercano a Mustang Panda y es conocido por ataques a organismos estatales de países del sudeste asiático, incluidas misiones diplomáticas.
La nueva versión se distribuye mediante el ejecutable «Browser_Updater.exe», que se hace pasar por una actualización de navegador. Al iniciarse, el programa muestra una ventana de instalación falsa; sin embargo, la infección ocurre independientemente de las acciones del usuario. Desde un servidor remoto se descarga un archivo MSI que instala componentes del malware en el directorio %LOCALAPPDATA%\pZhozR y ejecuta un archivo legítimo «Avk.exe» perteneciente al antivirus G DATA. A continuación se aplica una técnica de suplantación de bibliotecas: mediante carga lateral de DLL se carga la maliciosa «Avk.dll», que inicia la ejecución del código principal.
Los desarrolladores usaron hash de API para resolver dinámicamente funciones del sistema, incluyendo NtCreateFile y NtReadFile. El shellcode cifrado se almacena en el archivo «AVKTray.dat» y se descifra en memoria, tras lo cual se activa la carga principal de PlugX. Este enfoque dificulta el análisis estático y reduce la probabilidad de detección.
La configuración del malware se ubica en la sección .data y está cifrada con RC4. A diferencia de las muestras detectadas hasta diciembre de 2025, la nueva versión codifica adicionalmente los parámetros antes del cifrado. La clave RC4 se deriva de la cadena VOphJokPpbbQ, utilizando solo los primeros seis caracteres.
Tras el descifrado y la decodificación se pudo extraer la dirección del servidor de mando — «fruitbrat[.]com». Un análisis adicional mostró la coincidencia de las respuestas de ese dominio con la dirección IP 108.165.255.97, lo que indica una posible conexión en la infraestructura. Ambos hosts aceptan conexiones por el puerto 443.
Para persistir en el sistema, el malware copia archivos al directorio %public%\GData y crea una clave de autoinicio en HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data. En la configuración también se encontró la cadena arp, que presumiblemente designa el nombre de la campaña.
IIJ señala que la actividad de PlugX se mantiene desde el año pasado, y que los desarrolladores mejoran regularmente los mecanismos de ocultación. Teniendo en cuenta las coincidencias técnicas con el conjunto de herramientas descrito anteriormente por Google Threat Intelligence Group, la campaña encaja en el modelo conocido de operaciones de UNC6384.