PlugXは、リモートでアクセス可能なトロイの木馬型のマルウェアで、その存在は2000年代から確認されています。主に中国のサイバーセキュリティ攻撃グループ(APT)に利用されており、時間を経て進化し、さまざまな亜種や機能の追加が行われてきました。このマルウェアは別名「Korplug」とも称されています。
攻撃対象のシステムに一度侵入すると、PlugXはHTTP、DNS、あるいはリバースシェルを利用して攻撃者のサーバ(C2サーバー)と通信を確立します。更にレジストリの改竄やDLLハイジャックを行うことでその侵入を長期化し、キーボードの操作記録(キーロギング)やネットワークのマッピング、スクリーンショットの取得などを通じて情報を盗み出します。
このように害悪性の高いPlugXは、サイバー攻撃グループ「Winnti」や「APT3」「MustangPanda」などといった複数のAPTによって使用されていると言われています。
