El grupo de piratería del estado-nación vinculado a China conocido como panda mustang está utilizando señuelos relacionados con la guerra ruso-ucraniana en curso para atacar entidades en Europa y Asia Pacífico.
Eso es según el equipo de investigación e inteligencia de BlackBerry, que analizado un archivo RAR titulado «Orientación política para el nuevo enfoque de la UE hacia Rusia.rar». Algunos de los países objetivo incluyen Vietnam, India, Pakistán, Kenia, Turquía, Italia y Brasil.
Mustang Panda es un prolífico grupo de ciberespionaje de China que también se rastrea bajo los nombres de Bronze President, Earth Preta, HoneyMyte, RedDelta y Red Lich.
Se cree que está activo desde al menos julio de 2018, según Secureworks. perfil de amenazaaunque hay indicios de que el actor de amenazas ha estado apuntando a entidades en todo el mundo desde 2012.
Se sabe que Mustang Panda confía en gran medida en el envío de archivos adjuntos armados a través de correos electrónicos de phishing para lograr la infección inicial, y las intrusiones eventualmente conducen a la implementación del troyano de acceso remoto PlugX.
Sin embargo, los recientes ataques de phishing dirigidos por el grupo dirigidos a los sectores de gobierno, educación e investigación en la región de Asia Pacífico han involucrado malware personalizado como PUBLOAD, TONEINS y TONASHELL, lo que sugiere una expansión de su arsenal de malware.
Los últimos hallazgos de BlackBerry muestran que el proceso de infección central se ha mantenido más o menos igual, incluso cuando Mustang Panda continúa utilizando los eventos geopolíticos en su beneficio, haciéndose eco de informes anteriores de Google y Proofpoint.
Dentro del archivo señuelo hay un acceso directo a un archivo de Microsoft Word, que aprovecha Carga lateral de DLL – una técnica que también se empleó en ataques dirigido a Myanmar a principios de este año, para iniciar la ejecución de PlugX en la memoria, antes de mostrar el contenido del documento.
«Su cadena de ataque sigue siendo consistente con el uso continuo de archivos comprimidos, archivos de acceso directo, cargadores maliciosos y el uso del malware PlugX, aunque su configuración de entrega generalmente se personaliza por región/país para atraer a las víctimas a ejecutar sus cargas útiles con la esperanza de establecer persistencia con la intención de espionaje», dijo Dmitry Bestuzhev de BlackBerry a The Hacker News.