Une menace persistante avancée (APT) basée en Chine connue sous le nom de Panda mustang a été lié à une campagne de cyberespionnage en cours utilisant une variante précédemment non documentée du PlugX cheval de Troie d’accès à distance sur les machines infectées.
La société slovaque de cybersécurité ESET a surnommé la nouvelle version Hodûren raison de sa ressemblance avec une autre variante de PlugX (alias Korplug) appelée THOR qui a été révélée en juillet 2021.
« La plupart des victimes se trouvent en Asie de l’Est et du Sud-Est, mais quelques-unes se trouvent en Europe (Grèce, Chypre, Russie) et en Afrique (Afrique du Sud, Soudan du Sud) », a déclaré Alexandre Côté Cyr, chercheur sur les logiciels malveillants chez ESET. mentionné dans un rapport partagé avec The Hacker News.
« Les victimes connues comprennent des entités de recherche, des fournisseurs de services Internet (FAI) et des missions diplomatiques européennes principalement situées en Asie de l’Est et du Sud-Est. »
Mustang Panda, également connu sous le nom de TA416, HoneyMyte, RedDelta ou PKPLUG, est un groupe de cyberespionnage qui est principalement connu pour cibler les organisations non gouvernementales avec un accent particulier sur la Mongolie.
La dernière campagne, qui remonte au moins à août 2021, utilise une chaîne de compromis comportant une pile en constante évolution de documents leurres concernant les événements en cours en Europe et la guerre en Ukraine.
« D’autres leurres de phishing mentionnent des restrictions de voyage COVID-19 mises à jour, une carte des aides régionales approuvée pour la Grèce et un règlement du Parlement européen et du Conseil », a déclaré ESET. « Le dernier leurre est un véritable document disponible sur le site du Conseil européen. Cela montre que le groupe APT à l’origine de cette campagne suit l’actualité et est capable d’y réagir avec succès et rapidité. »
Quel que soit le leurre de phishing utilisé, les infections aboutissent au déploiement de la porte dérobée Hodur sur l’hôte Windows compromis.
« La variante utilisée dans cette campagne présente de nombreuses similitudes avec la variante THOR, c’est pourquoi nous l’avons nommée Hodur », a expliqué. « Les similitudes incluent l’utilisation de la clé de registre SoftwareCLASSESms-pu, le même format pour [command-and-control] serveurs dans la configuration et l’utilisation de la classe de fenêtre Static. »
Hodur, pour sa part, est équipé pour gérer une variété de commandes, permettant à l’implant de collecter des informations système étendues, de lire et d’écrire des fichiers arbitraires, d’exécuter des commandes et de lancer une session cmd.exe à distance.
Les conclusions d’ESET correspondent aux divulgations publiques du groupe d’analyse des menaces (TAG) de Google et de Proofpoint, qui ont tous deux détaillé une campagne Mustang Panda pour distribuer une variante PlugX mise à jour plus tôt ce mois-ci.
« Les leurres utilisés dans cette campagne montrent une fois de plus la rapidité avec laquelle Mustang Panda est capable de réagir aux événements mondiaux », a déclaré Côté Cyr. « Ce groupe démontre également une capacité à améliorer de manière itérative ses outils, y compris son utilisation caractéristique des téléchargeurs trident pour déployer Korplug. »