El actor de amenazas con sede en China conocido como panda mustang se ha observado refinando y reestructurando sus tácticas y malware para atacar entidades ubicadas en Asia, la Unión Europea, Rusia y los EE. UU.
«Mustang Panda es un grupo APT altamente motivado que se basa principalmente en el uso de señuelos tópicos e ingeniería social para engañar a las víctimas para que se infecten a sí mismas», Cisco Talos dicho en un nuevo informe que detalla la evolución del modus operandi del grupo.
Se sabe que el grupo se ha dirigido a una amplia gama de organizaciones desde al menos 2012, y el actor se basó principalmente en la ingeniería social basada en correo electrónico para obtener acceso inicial para eliminar PlugX, una puerta trasera implementada predominantemente para el acceso a largo plazo.
Los mensajes de phishing atribuidos a la campaña contienen señuelos maliciosos que se hacen pasar por informes oficiales de la Unión Europea sobre el conflicto en curso en Ucrania o informes del gobierno ucraniano, los cuales descargan malware en las máquinas comprometidas.
También se observan mensajes de phishing diseñados para apuntar a varias entidades en los EE. UU. y varios países asiáticos como Myanmar, Hong Kong, Japón y Taiwán.
Los hallazgos siguen a un informe reciente de Secureworks de que el grupo pudo haber estado apuntando a funcionarios del gobierno ruso utilizando un señuelo que contenía PlugX que se disfrazó como un informe sobre el destacamento fronterizo a Blagoveshchensk.
Pero ataques similares detectados a fines de marzo de 2022 muestran que los actores están actualizando sus tácticas al reducir las URL remotas utilizadas para obtener diferentes componentes de la cadena de infección.
Aparte de PlugX, las cadenas de infección utilizadas por el grupo APT han implicado el despliegue de etapas personalizadas, shells inversos, Shellcode basado en Meterpretery Cobalt Strike, todos los cuales se utilizan para establecer acceso remoto a sus objetivos con la intención de realizar espionaje y robo de información.
«Al utilizar señuelos temáticos de cumbres y conferencias en Asia y Europa, este atacante tiene como objetivo obtener el mayor acceso posible a largo plazo para realizar espionaje y robo de información», dijeron los investigadores de Talos.