Słowacka firma ESET wykryła elementy złośliwego oprogramowania o nazwie Korplug w systemach wielu firm spedycyjnych w Norwegii, Grecji i Holandii. Wydaje się, że penetracje miały miejsce również na statkach, a nie tylko w systemach biurowych na lądzie. Wyglądało na to, że złośliwe oprogramowanie trafiło do systemów z nośników USB, dobrze znanego źródła cyberryzyka w transporcie.
Część szkodliwego oprogramowania wykorzystywała nieprawidłowe kody uwierzytelniające autora oprogramowania, kopiując legalne podpisy renomowanych firm, w tym czołowej amerykańskiej firmy zajmującej się cyberbezpieczeństwem.
Złośliwe oprogramowanie Korplug jest wykorzystywane wyłącznie przez chińską grupę Mustang Panda (znaną również jako TA416, RedDelta lub PKPLUG). Próbki zidentyfikowane przez ESET były już używane w poprzednich kampaniach hakerskich, co sugeruje, że Mustang Panda ponownie wykorzystuje swoje oprogramowanie do infiltracji branży transportowej.
Według firmy konsultingowej Mitre, Mustang Panda został po raz pierwszy zidentyfikowany w 2017 r. W przeszłości grupa atakowała organizacje non-profit, grupy religijne, rządy i organizacje pozarządowe. Jego zwykłe obszary zainteresowania obejmowały cele w USA, Europie i Azji, Mongolii, Birmie, Pakistanie i Wietnamie. Jest znany z wyrafinowanych ataków phishingowych wykorzystujących tematykę organizacji.