El actor de amenazas con sede en China conocido como panda mustang Se sospecha que se ha dirigido al Ministerio de Defensa y Asuntos Exteriores de Myanmar como parte de campañas gemelas diseñadas para desplegar puertas traseras y troyanos de acceso remoto.
Los hallazgos provienen de CSIRT-CTI, que dijo que las actividades tuvieron lugar en noviembre de 2023 y enero de 2024 después de que se cargaran artefactos relacionados con los ataques en la plataforma VirusTotal.
«El más destacado de estos TTP es el uso de software legítimo, incluido un binario desarrollado por la firma de ingeniería Bernecker & Rainer (B&R) y un componente del asistente de actualización de Windows 10 para descargar bibliotecas de enlaces dinámicos (DLL) maliciosas», CSIRT-CTI dicho.
Mustang Panda, activo desde al menos 2012, también es reconocido por la comunidad de ciberseguridad con los nombres BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus y TEMP.Hex.
En los últimos meses, se ha atribuido al adversario ataques dirigidos a un gobierno anónimo del sudeste asiático, así como a Filipinas, para ofrecer puertas traseras capaces de recopilar información confidencial.
La secuencia de infección de noviembre de 2023 comienza con un correo electrónico de phishing que contiene un archivo adjunto ZIP con una trampa explosiva que contiene un ejecutable legítimo («Análisis de la tercera reunión de NDSC.exe») firmado originalmente por B&R Industrial Automation GmbH y un archivo DLL («BrMod104″). .dll»).
El ataque aprovecha el hecho de que el binario es susceptible al secuestro del orden de búsqueda de DLL para cargar lateralmente la DLL maliciosa y posteriormente establecer persistencia y contacto con un servidor de comando y control (C2) y recuperar una puerta trasera conocida llamada PUBLOAD, que, a su vez, actúa como un cargador personalizado para colocar el implante PlugX.
«Los actores de amenazas intentan disfrazar la [C2] tráfico como tráfico de actualización de Microsoft agregando los encabezados ‘Host: www.asia.microsoft.com’ y ‘User-Agent: Windows-Update-Agent'», señaló CSIRT-CTI, que refleja una campaña de mayo de 2023. revelado por Lab52.
Por otro lado, la segunda campaña observada a principios de este mes emplea una imagen de disco óptico («ASEAN Notes.iso») que contiene accesos directos a LNK para desencadenar un proceso de varias etapas que utiliza otro cargador personalizado llamado TONESHELL para probablemente implementar PlugX desde un Servidor C2 inaccesible.
Vale la pena señalar que una cadena de ataque similar atribuida a Mustang Panda fue previamente desenterrado por EclecticIQ en febrero de 2023 en intrusiones dirigidas a organizaciones gubernamentales y del sector público en Asia y Europa.
«Siguiendo el Ataques rebeldes en el norte de Myanmar [in October 2023]China ha expresado preocupación por su efecto en las rutas comerciales y la seguridad alrededor de la frontera entre Myanmar y China», dijo CSIRT-CTI.
«Se sabe que las operaciones majestuosas de Taurus se alinean con los intereses geopolíticos del gobierno chino, incluidas múltiples operaciones de ciberespionaje contra Myanmar en el pasado».