Se ha observado al actor de Mustang Panda alineado con China usando una puerta trasera personalizada hasta ahora no vista llamada MQsTTang como parte de una campaña de ingeniería social en curso que comenzó en enero de 2023.
«A diferencia de la mayoría del malware del grupo, MQsTTang no parece estar basado en familias existentes o proyectos disponibles públicamente», dijo Alexandre Côté Cyr, investigador de ESET. dicho en un nuevo informe.
Las cadenas de ataques orquestadas por el grupo han intensificado los ataques contra entidades europeas a raíz de la invasión a gran escala de Ucrania por parte de Rusia el año pasado. La victimología de la actividad actual no está clara, pero la compañía de seguridad cibernética eslovaca dijo que los nombres de los archivos señuelo están en línea con las campañas anteriores del grupo que apuntan a las organizaciones políticas europeas.
Dicho esto, ESET también observó ataques contra entidades desconocidas en Bulgaria y Australia, así como una institución gubernamental en Taiwán, lo que indica un enfoque en Europa y Asia.
Mustang Panda tiene un historial de uso de un troyano de acceso remoto apodado PlugX por lograr sus objetivos, aunque las intrusiones recientes han visto al grupo expandir su arsenal de malware para incluir herramientas personalizadas como TONEINS, TONSHELL y PUBLOAD.
En diciembre de 2022, Avast revelado otro conjunto de ataques dirigidos a agencias gubernamentales y ONG políticas en Myanmar que condujeron a la exfiltración de datos confidenciales, incluidos volcados de correo electrónico, archivos, audiencias judiciales, informes de interrogatorios y transcripciones de reuniones, utilizando una variante de PlugX llamada Hodur y una utilidad de carga de Google Drive .
Además, se descubrió que un servidor FTP vinculado al actor de amenazas aloja una variedad de herramientas previamente no documentadas que se utilizan para distribuir malware a los dispositivos infectados, incluido un troyano basado en Go llamado JSX y una puerta trasera sofisticada denominada HT3.
El desarrollo de MQsTTang apunta a una continuación de esa tendencia, incluso si se trata de una puerta trasera «barebone» de una sola etapa sin ninguna técnica de ofuscación que permita ejecutar comandos arbitrarios recibidos desde un servidor remoto.
Sin embargo, un aspecto inusual del implante es el uso de un protocolo de mensajería IoT llamado MQTT para comunicaciones de comando y control (C2), que se logra utilizando una biblioteca de código abierto llamada QMQTTun cliente MQTT para el Qt marco de aplicación multiplataforma.
El vector de intrusión inicial para los ataques es el spear-phishing, con MQTT distribuido a través de archivos RAR que contienen un solo ejecutable que presenta nombres de archivo con temas diplomáticos (p. ej., «PDF_Pasaporte y CV de miembros diplomáticos de Tokio de JAPÓN.eXE»).
«Esta nueva puerta trasera MQsTTang proporciona una especie de shell remoto sin ninguna de las campanas y silbatos asociados con las otras familias de malware del grupo», dijo Côté Cyr. «Sin embargo, muestra que Mustang Panda está explorando nuevas tecnologías para sus herramientas».