Le groupe de piratage d’États-nations lié à la Chine appelé Panda mustang utilise des leurres liés à la guerre russo-ukrainienne en cours pour attaquer des entités en Europe et en Asie-Pacifique.
C’est selon l’équipe BlackBerry Research and Intelligence Team, qui analysé un fichier d’archive RAR intitulé « Orientation politique pour la nouvelle approche de l’UE envers la Russie.rar ». Certains des pays ciblés sont le Vietnam, l’Inde, le Pakistan, le Kenya, la Turquie, l’Italie et le Brésil.
Mustang Panda est un groupe de cyber-espionnage prolifique de Chine qui est également suivi sous les noms de Bronze President, Earth Preta, HoneyMyte, RedDelta et Red Lich.
On pense qu’il est actif depuis au moins juillet 2018, selon Secureworks. profil de menacebien qu’il semble que l’auteur de la menace ait ciblé des entités dans le monde entier dès 2012.
Mustang Panda est connu pour s’appuyer fortement sur l’envoi de pièces jointes militarisées via des e-mails de phishing pour réaliser l’infection initiale, les intrusions conduisant finalement au déploiement du cheval de Troie d’accès à distance PlugX.
Cependant, les récentes attaques de harponnage menées par le groupe ciblant les secteurs du gouvernement, de l’éducation et de la recherche dans la région Asie-Pacifique ont impliqué des logiciels malveillants personnalisés tels que PUBLOAD, TONEINS et TONESHELL, suggérant une expansion de son arsenal de logiciels malveillants.
Les dernières découvertes de BlackBerry montrent que le processus d’infection de base est resté plus ou moins le même, même si Mustang Panda continue d’utiliser les événements géopolitiques à son avantage, faisant écho aux rapports antérieurs de Google et Proofpoint.
L’archive leurre contient un raccourci vers un fichier Microsoft Word, qui exploite Chargement latéral de DLL – une technique qui a également été employée dans attaques destiné au Myanmar plus tôt cette année – pour lancer l’exécution de PlugX en mémoire, avant d’afficher le contenu du document.
« Leur chaîne d’attaque reste cohérente avec l’utilisation continue de fichiers d’archives, de fichiers de raccourcis, de chargeurs malveillants et de l’utilisation du logiciel malveillant PlugX, bien que leur configuration de livraison soit généralement personnalisée par région/pays pour inciter les victimes à exécuter leurs charges utiles dans l’espoir de établir la persistance avec l’intention d’espionnage », a déclaré Dmitry Bestuzhev de BlackBerry à The Hacker News.