Se ha observado al actor de Mustang Panda alineado con China usando una puerta trasera personalizada hasta ahora no vista llamada MQsTTang<\/strong> como parte de una campa\u00f1a de ingenier\u00eda social en curso que comenz\u00f3 en enero de 2023.<\/p>\n “A diferencia de la mayor\u00eda del malware del grupo, MQsTTang no parece estar basado en familias existentes o proyectos disponibles p\u00fablicamente”, dijo Alexandre C\u00f4t\u00e9 Cyr, investigador de ESET. dicho<\/a> en un nuevo informe.<\/p>\n Las cadenas de ataques orquestadas por el grupo han intensificado los ataques contra entidades europeas a ra\u00edz de la invasi\u00f3n a gran escala de Ucrania por parte de Rusia el a\u00f1o pasado. La victimolog\u00eda de la actividad actual no est\u00e1 clara, pero la compa\u00f1\u00eda de seguridad cibern\u00e9tica eslovaca dijo que los nombres de los archivos se\u00f1uelo est\u00e1n en l\u00ednea con las campa\u00f1as anteriores del grupo que apuntan a las organizaciones pol\u00edticas europeas.<\/p>\n Dicho esto, ESET tambi\u00e9n observ\u00f3 ataques contra entidades desconocidas en Bulgaria y Australia, as\u00ed como una instituci\u00f3n gubernamental en Taiw\u00e1n, lo que indica un enfoque en Europa y Asia.<\/p>\n Mustang Panda tiene un historial de uso de un troyano de acceso remoto<\/a> apodado PlugX por lograr sus objetivos, aunque las intrusiones recientes han visto al grupo expandir su arsenal de malware para incluir herramientas personalizadas como TONEINS, TONSHELL y PUBLOAD.<\/p>\n En diciembre de 2022, Avast revelado<\/a> otro conjunto de ataques dirigidos a agencias gubernamentales y ONG pol\u00edticas en Myanmar que condujeron a la exfiltraci\u00f3n de datos confidenciales, incluidos volcados de correo electr\u00f3nico, archivos, audiencias judiciales, informes de interrogatorios y transcripciones de reuniones, utilizando una variante de PlugX llamada Hodur y una utilidad de carga de Google Drive .<\/p>\n Adem\u00e1s, se descubri\u00f3 que un servidor FTP vinculado al actor de amenazas aloja una variedad de herramientas previamente no documentadas que se utilizan para distribuir malware a los dispositivos infectados, incluido un troyano basado en Go llamado JSX y una puerta trasera sofisticada denominada HT3.<\/p>\n El desarrollo de MQsTTang apunta a una continuaci\u00f3n de esa tendencia, incluso si se trata de una puerta trasera “barebone” de una sola etapa sin ninguna t\u00e9cnica de ofuscaci\u00f3n que permita ejecutar comandos arbitrarios recibidos desde un servidor remoto.<\/p>\n Sin embargo, un aspecto inusual del implante es el uso de un protocolo de mensajer\u00eda IoT llamado MQTT<\/a> para comunicaciones de comando y control (C2), que se logra utilizando una biblioteca de c\u00f3digo abierto llamada QMQTT<\/a>un cliente MQTT para el Qt<\/a> marco de aplicaci\u00f3n multiplataforma.<\/p>\n El vector de intrusi\u00f3n inicial para los ataques es el spear-phishing, con MQTT distribuido a trav\u00e9s de archivos RAR que contienen un solo ejecutable que presenta nombres de archivo con temas diplom\u00e1ticos (p. ej., “PDF_Pasaporte y CV de miembros diplom\u00e1ticos de Tokio de JAP\u00d3N.eXE”).<\/p>\n “Esta nueva puerta trasera MQsTTang proporciona una especie de shell remoto sin ninguna de las campanas y silbatos asociados con las otras familias de malware del grupo”, dijo C\u00f4t\u00e9 Cyr. “Sin embargo, muestra que Mustang Panda est\u00e1 explorando nuevas tecnolog\u00edas para sus herramientas”.<\/p>\n <\/p>\n![\"Puerta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1677856472_734_Hackers-chinos-apuntan-a-entidades-europeas-con-la-nueva-puerta.png\" "\\"Puerta")
<\/div>\n