L’acteur menaçant basé en Chine connu sous le nom de Panda Mustang est soupçonné d’avoir ciblé le ministère de la Défense et des Affaires étrangères du Myanmar dans le cadre de deux campagnes visant à déployer des portes dérobées et des chevaux de Troie d’accès à distance.
Les conclusions proviennent du CSIRT-CTI, qui indique que les activités ont eu lieu en novembre 2023 et janvier 2024 après que des artefacts liés aux attaques ont été téléchargés sur la plateforme VirusTotal.
« Les plus importants de ces TTP sont l’utilisation de logiciels légitimes, notamment un binaire développé par la société d’ingénierie Bernecker & Rainer (B&R) et un composant de l’assistant de mise à niveau de Windows 10 pour charger des bibliothèques de liens dynamiques (DLL) malveillantes », CSIRT-CTI dit.
Mustang Panda, actif depuis au moins 2012, est également reconnu par la communauté de la cybersécurité sous les noms BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus et TEMP.Hex.
Au cours des derniers mois, l’adversaire a été attribué à des attaques visant un gouvernement anonyme d’Asie du Sud-Est ainsi que les Philippines afin de fournir des portes dérobées capables de récolter des informations sensibles.
La séquence d’infection de novembre 2023 commence par un e-mail de phishing contenant une pièce jointe d’archive ZIP piégée contenant un exécutable légitime (« Analyse de la troisième réunion de NDSC.exe ») initialement signé par B&R Industrial Automation GmbH et un fichier DLL (« BrMod104 »). .dll »).
L’attaque profite du fait que le binaire est susceptible d’être détourné par l’ordre de recherche des DLL pour charger latéralement la DLL malveillante puis établissez la persistance et le contact avec un serveur de commande et de contrôle (C2) et récupérez une porte dérobée connue appelée PUBLOAD, qui, à son tour, agit comme un chargeur personnalisé pour supprimer l’implant PlugX.
« Les acteurs de la menace tentent de dissimuler [C2] trafic à mesure que Microsoft met à jour le trafic en ajoutant les en-têtes « Host : www.asia.microsoft.com » et « User-Agent : Windows-Update-Agent » », a noté le CSIRT-CTI, reflétant une campagne de mai 2023. divulgué par Lab52.
D’un autre côté, la deuxième campagne observée plus tôt ce mois-ci utilise une image de disque optique (« ASEAN Notes.iso ») contenant des raccourcis LNK pour déclencher un processus en plusieurs étapes qui utilise un autre chargeur sur mesure appelé TONESHELL pour probablement déployer PlugX à partir d’un système actuel. serveur C2 inaccessible.
Il convient de noter qu’une chaîne d’attaque similaire attribuée à Mustang Panda avait déjà été déniché par EclecticIQ en février 2023 lors d’intrusions visant des organisations gouvernementales et du secteur public en Asie et en Europe.
« Suivant le attaques rebelles dans le nord du Myanmar [in October 2023]La Chine a exprimé ses inquiétudes quant à ses effets sur les routes commerciales et la sécurité autour de la frontière entre le Myanmar et la Chine », a déclaré le CSIRT-CTI.
« Les opérations majestueuses de Taurus sont connues pour s’aligner sur les intérêts géopolitiques du gouvernement chinois, y compris de multiples opérations de cyberespionnage contre le Myanmar dans le passé. »