L’acteur Mustang Panda, lié à la Chine, a été lié à une cyberattaque visant une entité gouvernementale philippine au milieu tensions croissantes entre les deux pays au sujet de la contestation de la mer de Chine méridionale.
L’unité 42 de Palo Alto Networks a attribué au collectif contradictoire trois campagnes en août 2023, ciblant principalement les organisations du Pacifique Sud.
« Les campagnes ont exploité des logiciels légitimes, notamment Solid PDF Creator et SmadavProtect (une solution antivirus basée en Indonésie) pour charger des fichiers malveillants », a déclaré la société. dit.
« Les auteurs de la menace ont également configuré le malware de manière créative pour usurper l’identité du trafic Microsoft légitime pour les connexions de commande et de contrôle (C2). »
Mustang Panda, également suivi sous les noms de Bronze President, Camaro Dragon, Earth Preta, RedDelta et Stately Taurus, est considéré comme une menace persistante avancée (APT) chinoise active depuis au moins 2012, orchestrant des campagnes de cyberespionnage ciblant des organisations non gouvernementales. (ONG) et organismes gouvernementaux en Amérique du Nord, en Europe et en Asie.
Fin septembre 2023, l’Unité 42 a également impliqué l’acteur menaçant dans des attaques visant un gouvernement anonyme d’Asie du Sud-Est afin de distribuer une variante d’une porte dérobée appelée TONESHELL.
Les dernières campagnes exploitent les e-mails de spear phishing pour fournir un fichier d’archive ZIP malveillant contenant une bibliothèque de liens dynamiques (DLL) malveillante lancée à l’aide d’une technique appelée Chargement latéral des DLL. La DLL établit ensuite le contact avec un serveur distant.
On estime que l’entité gouvernementale philippine a probablement été compromise sur une période de cinq jours entre le 10 et le 15 août 2023.
L’utilisation de SmadavProtect est une tactique connue adoptée par Mustang Panda ces derniers mois, ayant déployé des logiciels malveillants expressément conçus pour contourner la solution de sécurité.
« Stately Taurus continue de démontrer sa capacité à mener des opérations de cyberespionnage persistantes en tant que l’une des APT chinoises les plus actives », ont déclaré les chercheurs.
« Ces opérations ciblent une variété d’entités à l’échelle mondiale qui s’alignent sur des sujets géopolitiques d’intérêt pour le gouvernement chinois. »
La divulgation intervient alors qu’un acteur sud-coréen de l’APT nommé Higaisa a été découvert ciblant des utilisateurs chinois via des sites Web de phishing imitant des applications logicielles bien connues telles que OpenVPN.
« Une fois exécuté, le programme d’installation supprime et exécute des logiciels malveillants basés sur Rust sur le système, déclenchant ensuite un shellcode », Cyble dit à la fin du mois dernier. « Le shellcode effectue des opérations d’anti-débogage et de décryptage. Ensuite, il établit une communication cryptée de commande et de contrôle (C&C) avec un acteur de menace (TA) distant. »