{"id":1354734,"date":"2024-09-10T10:47:19","date_gmt":"2024-09-10T10:47:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/mustang-panda-implementa-malware-avanzado-para-espiar-a-los-gobiernos-de-asia-y-el-pacifico\/"},"modified":"2024-09-10T10:47:23","modified_gmt":"2024-09-10T10:47:23","slug":"mustang-panda-implementa-malware-avanzado-para-espiar-a-los-gobiernos-de-asia-y-el-pacifico","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mustang-panda-implementa-malware-avanzado-para-espiar-a-los-gobiernos-de-asia-y-el-pacifico\/","title":{"rendered":"Mustang Panda implementa malware avanzado para espiar a los gobiernos de Asia y el Pac\u00edfico"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ataque cibern\u00e9tico \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenaza rastreado como Panda Mustang<\/strong> ha refinado su arsenal de malware para incluir nuevas herramientas con el fin de facilitar la exfiltraci\u00f3n de datos y el despliegue de cargas \u00fatiles de siguiente etapa, seg\u00fan Nuevos hallazgos<\/a> de Trend Micro.<\/p>\n

La empresa de ciberseguridad, que monitorea el cl\u00faster de actividad bajo el nombre de Earth Preta, dijo que observ\u00f3 “la propagaci\u00f3n de PUBLOAD a trav\u00e9s de una variante del gusano HIUPAN”.<\/p>\n

PUBLOAD es un malware de descarga conocido vinculado a Mustang Panda desde principios de 2022, implementado como parte de ataques cibern\u00e9ticos dirigidos a entidades gubernamentales en la regi\u00f3n Asia-Pac\u00edfico (APAC) para distribuir el malware PlugX.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“PUBLOAD tambi\u00e9n se utiliz\u00f3 para introducir herramientas complementarias en el entorno de los objetivos, como FDMTP, que funcionaba como herramienta de control secundaria y que se observ\u00f3 que realizaba tareas similares a las de PUBLOAD; y PTSOCKET, una herramienta utilizada como opci\u00f3n de exfiltraci\u00f3n alternativa”, dijeron los investigadores de seguridad Lenart Bermejo, Sunny Lu y Ted Lee.<\/p>\n

El uso de unidades extra\u00edbles por parte de Mustang Panda como vector de propagaci\u00f3n HIUP\u00c1N<\/a> Trend Micro lo document\u00f3 previamente en marzo de 2023. Mandiant, propiedad de Google, lo rastrea como MISTCLOAK, que observ\u00f3 en relaci\u00f3n con una campa\u00f1a de espionaje cibern\u00e9tico dirigida a Filipinas que puede haber comenzado en septiembre de 2021.<\/p>\n

PUBLOAD est\u00e1 equipado con funciones para realizar reconocimiento de la red infectada y recolectar archivos de inter\u00e9s (.doc, .docx, .xls, .xlsx, .pdf, .ppt y .pptx), mientras que tambi\u00e9n sirve como conducto para una nueva herramienta de pirater\u00eda denominada FDMTP, que es un “simple descargador de malware” implementado en base a TouchSocket sobre el Protocolo de transporte de mensajes d\u00faplex (DMTP).<\/p>\n

La informaci\u00f3n capturada se comprime en un archivo RAR y se exfiltra a un sitio FTP controlado por el atacante a trav\u00e9s de cURL. Alternativamente, tambi\u00e9n se ha observado que Mustang Panda implementa un programa personalizado llamado PTSOCKET que puede transferir archivos en modo multiproceso.<\/p>\n

\"Malware<\/a><\/div>\n

Adem\u00e1s, Trend Micro ha atribuido al adversario a una campa\u00f1a de spear-phishing “de ritmo r\u00e1pido” que detect\u00f3 en junio de 2024 que distribu\u00eda mensajes de correo electr\u00f3nico que conten\u00edan un archivo adjunto .url, que, cuando se lanza, se utiliza para entregar un descargador firmado denominado DOWNBAIT.<\/p>\n

Se cree que la campa\u00f1a tuvo como blanco a Myanmar, Filipinas, Vietnam, Singapur, Camboya y Taiw\u00e1n bas\u00e1ndose en los nombres de archivo y el contenido de los documentos se\u00f1uelo utilizados.<\/p>\n

DOWNBAIT es una herramienta de carga de primera etapa que se utiliza para recuperar y ejecutar el c\u00f3digo shell PULLBAIT en la memoria, que posteriormente descarga y ejecuta la puerta trasera de primera etapa conocida como CBROVER.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

El implante, por su parte, permite la descarga de archivos y la ejecuci\u00f3n remota de shell, adem\u00e1s de actuar como veh\u00edculo de distribuci\u00f3n para el troyano de acceso remoto (RAT) PlugX. PlugX se encarga de implementar otro recopilador de archivos a medida llamado FILESAC que puede recopilar los archivos de la v\u00edctima.<\/p>\n

La revelaci\u00f3n se produce cuando la Unidad 42 de Palo Alto Networks detall\u00f3 el abuso por parte de Mustang Panda de la funci\u00f3n de shell inverso integrada de Visual Studio Code para ganar terreno en las redes de destino, lo que indica que el actor de amenazas est\u00e1 modificando activamente su modus operandi.<\/p>\n

“Earth Preta ha mostrado avances significativos en la implementaci\u00f3n y las estrategias de malware, particularmente en sus campa\u00f1as dirigidas a entidades gubernamentales”, dijeron los investigadores. “El grupo ha desarrollado sus t\u00e1cticas, […] “Aprovechando descargadores de m\u00faltiples etapas (desde DOWNBAIT hasta PlugX) y posiblemente explotando los servicios en la nube de Microsoft para la exfiltraci\u00f3n de datos”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n