El actor Mustang Panda vinculado a China ha sido vinculado a un ciberataque dirigido a una entidad gubernamental de Filipinas en medio de tensiones crecientes entre los dos países por el disputado Mar de China Meridional.
La Unidad 42 de Palo Alto Networks atribuyó al colectivo adversario a tres campañas en agosto de 2023, destacando principalmente a organizaciones en el Pacífico Sur.
«Las campañas aprovecharon software legítimo, incluido Solid PDF Creator y SmadavProtect (una solución antivirus con sede en Indonesia) para descargar archivos maliciosos», dijo la empresa. dicho.
«Los autores de amenazas también configuraron creativamente el malware para hacerse pasar por el tráfico legítimo de Microsoft para conexiones de comando y control (C2)».
Mustang Panda, también rastreado bajo los nombres Bronze President, Camaro Dragon, Earth Preta, RedDelta y Stately Taurus, se considera una amenaza persistente avanzada (APT) china activa desde al menos 2012, orquestando campañas de ciberespionaje dirigidas a organizaciones no gubernamentales. (ONG) y organismos gubernamentales en América del Norte, Europa y Asia.
A finales de septiembre de 2023, la Unidad 42 también implicó al actor de amenazas en ataques dirigidos a un gobierno anónimo del sudeste asiático para distribuir una variante de una puerta trasera llamada TONESHELL.
Las últimas campañas aprovechan los correos electrónicos de phishing para entregar un archivo ZIP malicioso que contiene una biblioteca de vínculos dinámicos (DLL) maliciosa que se inicia mediante una técnica llamada Carga lateral de DLL. Posteriormente, la DLL establece contacto con un servidor remoto.
Se estima que la entidad gubernamental de Filipinas probablemente se vio comprometida durante un período de cinco días entre el 10 y el 15 de agosto de 2023.
El uso de SmadavProtect es una táctica conocida adoptada por Mustang Panda en los últimos meses, tras haber desplegado malware diseñado expresamente para eludir la solución de seguridad.
«El Stately Taurus continúa demostrando su capacidad para llevar a cabo operaciones persistentes de ciberespionaje como una de las APT chinas más activas», dijeron los investigadores.
«Estas operaciones tienen como objetivo una variedad de entidades a nivel mundial que se alinean con temas geopolíticos de interés para el gobierno chino».
La divulgación se produce cuando se descubrió que un actor surcoreano de APT llamado Higaisa apuntaba a usuarios chinos a través de sitios web de phishing que imitaban aplicaciones de software conocidas como OpenVPN.
«Una vez ejecutado, el instalador coloca y ejecuta malware basado en Rust en el sistema, lo que posteriormente activa un código shell», Cyble dicho a finales del mes pasado. «El código shell realiza operaciones de anti-depuración y descifrado. Luego, establece una comunicación cifrada de comando y control (C&C) con un actor de amenazas (TA) remoto».