Análisis de Trojan.Korplug/Beacon: una amenaza troyana que acecha en USB
En USB-AV Antivirus, nuestro equipo de especialistas se dedica a examinar diariamente las amenazas que andan rondando en dispositivos USB. Hoy vamos a hablar de Trojan.Korplug/Beacon, un troyano bastante peligroso que se disfraza de archivos ejecutables normales que puedes encontrar en un USB. Este malware forma parte de la familia Korplug, también conocida como PlugX, y es un RAT (Troyano de Acceso Remoto). ¿Qué hace un RAT? Pues básicamente permite a los atacantes tener control remoto sobre tu PC, robar información y espiarte sin que te des cuenta.
Resumen rápido
Trojan.Korplug/Beacon funciona como un beacon —es decir, una especie de señal que envía datos al atacante— y como loader, o cargador, porque inyecta otros malware en el sistema. Fue compilado en septiembre de 2020 y detectado por primera vez en febrero de 2021. Nuestros análisis indicaron que 50 de 76 motores antivirus lo identifican como malicioso, lo que sugiere un riesgo medio-alto. Está relacionado con técnicas de Cobalt Strike, una herramienta que utilizan grupos avanzados para espionaje. Si aparece en un USB, basta con que lo ejecutes para que infecte tu Windows, dejándote vulnerable a la acción de ciberladrones, en particular de grupos de espionaje chinos.
Datos técnicos
Aquí tienes los detalles esenciales de la muestra que nuestros expertos analizaron:
| Propiedad | Valor |
|---|---|
| SHA256 | d1265700c01dcb28137dcb911c763f334d3115c67e14c7af0ba6ab21abf4d262 |
| MD5 | 9141735f107c4b4f31403d5c9532e3e5 |
| SHA1 | d9df71f1542caf8009368c8afc51ff098d8fdb1f |
| ImpHash | 12755a39141a38b6b6d20db548f136c5 |
| Tipo de archivo | Win32 EXE (PE32 ejecutable GUI para MS Windows) |
| Tamaño | 140,800 bytes |
| Compilado | 21 de septiembre de 2020 |
| Primera vista | 2 de febrero de 2021 |
| Compilador | Visual Studio |
Suele aparecer con nombres como phpqRda9U.exe, USB.exe o Removable Disk(249GB).exe, intentando camuflarse como si fuera un archivo legítimo del USB para engañarte.
Motores que lo detectan
Muchos antivirus ya tienen detectada esta amenaza. Acá te dejamos la lista de motores que la identifican sin dudas:
- Bkav: W32.AIDetectMalware
- Lionic: Trojan.Win32.Kykymber.lhZ8
- MicroWorld-eScan: Dump:Generic.Beacon.Loader.Marte.C.05900968
- CTX: exe.trojan.korplug
- ALYac: Dump:Generic.Beacon.Loader.Marte.C.05900968
- Malwarebytes: Generic.Malware/Suspicious
- VIPRE: Dump:Generic.Beacon.Loader.Marte.C.05900968
- Sangfor: Worm.Win32.Korplug.Vq57
- CrowdStrike: win/malicious_confidence_100% (W)
- BitDefender: Dump:Generic.Beacon.Loader.Marte.C.05900968
- K7GW: Riskware (0040eff71)
- K7AntiVirus: Riskware (0040eff71)
- huorong: Trojan/Korplug.v
- Elastic: malicious (high confidence)
- ESET-NOD32: Win32/Korplug.RV trojan
- Cynet: Malicious (score: 99)
Estos motores detectan el malware usando firmas y análisis de comportamiento (heurísticas), por eso logran atraparlo rápido.
Datos interesantes
Korplug, también conocido como PlugX, es un RAT que lleva activo desde 2008; lo usan varios grupos APT chinos, como APT22, APT26 y APT41, para campañas de ciberespionaje. Se mueve muy fácil a través de USB, ya que oculta archivos en ellos de manera que Windows no los muestra pero los atacantes sí pueden aprovecharlos. Al ejecutarse, conecta con servidores que controlan los hackers (los llamados C2), y les envía datos como capturas de pantalla, teclas pulsadas y permite que manejen remotamente la máquina.
Usa tácticas muy sigilosas: como DLL side-loading, que consiste en cargar librerías DLL maliciosas junto con programas legítimos (por ejemplo debuggers), persistencia en el sistema por medio del registro de Windows y tareas programadas, y también hace “pausas largas” o sleeps para evitar que lo detecten. Nuestros tags internos resaltan términos como runtime-modules (carga módulos directamente en memoria), long-sleeps (pausas prolongadas), acceso directo al reloj CPU y monitoreo de la entrada del usuario.
En campañas recientes, durante 2024 y 2025, lo han encontrado incrustado en archivos MSI que usan DLL hijacking en ejecutables Canon, y el FBI realizó operaciones para erradicarlo de miles de PCs. Además, está vinculado con Cobalt Strike BeaconLoader, lo que confirma su uso en ataques bastante sofisticados.
Cómo evitar infectarte en el futuro
La prevención es lo más importante, sobre todo cuando se trata de USB. USB-AV Antivirus está pensado para detectar y eliminar amenazas como Trojan.Korplug/Beacon directamente en el USB, justo al conectarlo. Nuestras bases de datos y motores están diseñados para superar a los antivirus comunes en lo que es protección a nivel de USB, sin sacrificar velocidad ni precisión.
- Escanea el USB primero: No abras archivos sin antes pasar USB-AV. Así evitas que el malware salte a tu PC.
- En Windows, siempre usa también un antivirus normal, porque USB-AV no desinfecta el sistema si el malware ya está dentro.
- Jamás ejecutes archivos .exe desconocidos desde USB. Activa la protección contra autorun en Windows.
- Mantén el sistema y el antivirus actualizados a la última versión.
- Trabaja con cuentas limitadas, no de administrador, para las tareas que haces a diario.
- Evita usar USB que no conozcas bien y, si sabes cómo, verifica los hashes (por ejemplo el SHA256 que compartimos arriba).
En definitiva, USB-AV es ese complemento ideal que resguarda tu equipo revisando los USB antes de que puedan hacer daño.
Preguntas frecuentes
¿Qué es un beacon en malware? Básicamente, es como una señal que el malware envía al atacante para avisarle “aquí estoy” y para recibir instrucciones.
¿USB-AV puede eliminar Trojan.Korplug/Beacon si está en el USB? Sí, exactamente. USB-AV Antivirus elimina las amenazas que encuentra en el USB al conectarlo. Eso sí, si el PC ya está infectado, tendrás que usar un antivirus convencional para limpiarlo.
¿Cómo se propaga por USB? Se esconde entre los archivos del USB, se activa cuando abres esos archivos y después se copia a otros dispositivos USB, ocultando sus archivos maliciosos.
Recuerda: escanea siempre tus dispositivos USB con USB-AV Antivirus antes de usarlos.