L’acteur de menace basé en Chine connu sous le nom de Panda mustang a été observé en train d’affiner et de réorganiser ses tactiques et ses logiciels malveillants pour frapper des entités situées en Asie, dans l’Union européenne, en Russie et aux États-Unis
« Mustang Panda est un groupe APT très motivé qui s’appuie principalement sur l’utilisation de leurres topiques et d’ingénierie sociale pour inciter les victimes à s’infecter », Cisco Talos mentionné dans un nouveau rapport détaillant l’évolution du modus operandi du groupe.
Le groupe est connu pour avoir ciblé un large éventail d’organisations depuis au moins 2012, l’acteur s’appuyant principalement sur l’ingénierie sociale basée sur le courrier électronique pour obtenir un accès initial à la suppression de PlugX, une porte dérobée principalement déployée pour un accès à long terme.
Les messages de phishing attribués à la campagne contiennent des leurres malveillants se faisant passer pour des rapports officiels de l’Union européenne sur le conflit en cours en Ukraine ou des rapports du gouvernement ukrainien, qui téléchargent tous deux des logiciels malveillants sur des machines compromises.
On observe également des messages de phishing adaptés pour cibler diverses entités aux États-Unis et dans plusieurs pays asiatiques comme le Myanmar, Hong Kong, le Japon et Taïwan.
Les conclusions font suite à un rapport récent de Secureworks selon lequel le groupe aurait pu cibler des responsables du gouvernement russe en utilisant un leurre contenant PlugX qui se déguisait en rapport sur le détachement frontalier de Blagoveshchensk.
Mais des attaques similaires détectées vers la fin du mois de mars 2022 montrent que les acteurs mettent à jour leur tactique en réduisant les URL distantes utilisées pour obtenir différents composants de la chaîne d’infection.
Outre PlugX, les chaînes d’infection utilisées par le groupe APT ont impliqué le déploiement de stagers personnalisés, de shells inversés, Shellcode basé sur Meterpreteret Cobalt Strike, qui sont tous utilisés pour établir un accès à distance à leurs cibles dans le but de mener des activités d’espionnage et de vol d’informations.
« En utilisant des leurres sur le thème des sommets et des conférences en Asie et en Europe, cet attaquant vise à obtenir autant d’accès à long terme que possible pour mener de l’espionnage et du vol d’informations », ont déclaré les chercheurs de Talos.