Una amenaza persistente avanzada (APT) con sede en China conocida como panda mustang se ha vinculado a una campaña de ciberespionaje en curso utilizando una variante previamente no documentada de la EnchufeX troyano de acceso remoto en máquinas infectadas.
La firma eslovaca de ciberseguridad ESET apodó la nueva versión Hodurdebido a su parecido con otra variante de PlugX (también conocido como Korplug) llamada THOR que salió a la luz en julio de 2021.
«La mayoría de las víctimas se encuentran en el este y sureste de Asia, pero algunas se encuentran en Europa (Grecia, Chipre, Rusia) y África (Sudáfrica, Sudán del Sur)», Alexandre Côté Cyr, investigador de malware de ESET. dijo en un informe compartido con The Hacker News.
«Las víctimas conocidas incluyen entidades de investigación, proveedores de servicios de Internet (ISP) y misiones diplomáticas europeas ubicadas principalmente en el este y sudeste de Asia».
Mustang Panda, también conocido como TA416, HoneyMyte, RedDelta o PKPLUG, es un grupo de ciberespionaje que se conoce principalmente por apuntar a organizaciones no gubernamentales con un enfoque específico en Mongolia.
La última campaña, que se remonta al menos a agosto de 2021, utiliza una cadena de compromiso que presenta una pila en constante evolución de documentos señuelo relacionados con los eventos en curso en Europa y la guerra en Ucrania.
«Otros señuelos de phishing mencionan las restricciones de viaje actualizadas de COVID-19, un mapa de ayuda regional aprobado para Grecia y un Reglamento del Parlamento Europeo y del Consejo», dijo ESET. «El atractivo final es un documento real disponible en el sitio web del Consejo Europeo. Esto demuestra que el grupo APT detrás de esta campaña está siguiendo los asuntos actuales y es capaz de reaccionar con éxito y rapidez ante ellos».
Independientemente del señuelo de phishing empleado, las infecciones culminan con el despliegue de la puerta trasera Hodur en el host de Windows comprometido.
“La variante utilizada en esta campaña tiene muchas similitudes con la variante THOR, por eso la hemos llamado Hodur”, explicó. «Las similitudes incluyen el uso de la clave de registro SoftwareCLASSESms-pu, el mismo formato para [command-and-control] servidores en la configuración y uso de la clase de ventana estática».
Hodur, por su parte, está equipado para manejar una variedad de comandos, lo que permite que el implante recopile una gran cantidad de información del sistema, lea y escriba archivos arbitrarios, ejecute comandos e inicie una sesión cmd.exe remota.
Los hallazgos de ESET se alinean con las divulgaciones públicas del Threat Analysis Group (TAG) de Google y Proofpoint, que detallaron una campaña de Mustang Panda para distribuir una variante actualizada de PlugX a principios de este mes.
«Los señuelos utilizados en esta campaña muestran una vez más la rapidez con la que el Mustang Panda puede reaccionar ante los acontecimientos mundiales», dijo Côté Cyr. «Este grupo también demuestra la capacidad de mejorar iterativamente sus herramientas, incluido su uso característico de los descargadores trident para implementar Korplug».