El actor de amenaza vinculado a China conocido como Mustang Panda se ha atribuido a un ataque cibern\u00e9tico dirigido a una organizaci\u00f3n no especificada en Myanmar con herramientas previamente no reportadas, destacando el esfuerzo continuo de los actores de amenaza para aumentar la sofisticaci\u00f3n y la efectividad de su malware.<\/p>\n
Esto incluye versiones actualizadas de una puerta trasera conocida llamada Tonelada<\/b>as\u00ed como una nueva herramienta de movimiento lateral denominado StarProxy, dos Keyloggers con nombre en c\u00f3digo Paklog, Corklog y un controlador de evasi\u00f3n de detecci\u00f3n y respuesta de punto final (EDR) conocido como Splatcloak<\/b>.<\/p>\n
“Toneshell, una puerta trasera utilizada por Mustang Panda, se ha actualizado con cambios en su protocolo de comunicaci\u00f3n de comando y control de faketls (C2), as\u00ed como a los m\u00e9todos para crear y almacenar identificadores de clientes”, dijo el investigador de Zscaler Amenazlabz Sudeep Singh en un de dos partes<\/a> an\u00e1lisis<\/a>.<\/p>\n Mustang Panda, tambi\u00e9n conocido como Basin, Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte y Reddelta, es un actor de amenaza patrocinado por el estado de China activo desde al menos 2012.<\/p>\n Conocidas por sus ataques contra gobiernos, entidades militares, grupos minoritarios y organizaciones no gubernamentales (ONG) principalmente en pa\u00edses ubicados en el este de Asia, y en menor medida en Europa, el grupo tiene un historial de aprovechamiento de t\u00e9cnicas de carga lateral de DLL para entregar el malware TIGNX.<\/p>\n Sin embargo, desde finales de 2022, las campa\u00f1as orquestadas por Mustang Panda han comenzado a entregar con frecuencia una familia de malware a medida llamada Toneshell, que est\u00e1 dise\u00f1ada para descargar cargas \u00fatiles de la pr\u00f3xima etapa.<\/p>\n ZScaler dijo que descubri\u00f3 tres nuevas variantes del malware que vienen con diferentes niveles de sofisticaci\u00f3n –<\/p>\n Una nueva pieza de software asociada con Mustang Panda es StarProxy, que se lanza a trav\u00e9s de la carga lateral de DLL y est\u00e1 dise\u00f1ado para aprovechar el protocolo Faketls para proxy del tr\u00e1fico y facilitar las comunicaciones de los atacantes.<\/p>\n “Una vez activo, StarProxy permite a los atacantes proxy tr\u00e1fico entre dispositivos infectados y sus servidores C2. StarProxy logra esto utilizando los sockets TCP para comunicarse con el servidor C2 a trav\u00e9s del protocolo Faketls, cifrando todos los datos intercambiados con un algoritmo de encriptaci\u00f3n basado en XOR personalizado”, dijo Singh.<\/p>\n “Adem\u00e1s, la herramienta utiliza argumentos de l\u00ednea de comandos para especificar la direcci\u00f3n IP y el puerto para la comunicaci\u00f3n, lo que permite a los atacantes transmitir datos a trav\u00e9s de m\u00e1quinas comprometidas”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Mustang-Panda-apunta-a-Myanmar-con-actualizaciones-de-StarProxy-EDR.jpg\")
<\/a><\/center><\/div>\n\n