L’acteur de menace bas\u00e9 en Chine connu sous le nom de Panda mustang<\/b> a \u00e9t\u00e9 observ\u00e9 en train d’affiner et de r\u00e9organiser ses tactiques et ses logiciels malveillants pour frapper des entit\u00e9s situ\u00e9es en Asie, dans l’Union europ\u00e9enne, en Russie et aux \u00c9tats-Unis<\/p>\n
“Mustang Panda est un groupe APT tr\u00e8s motiv\u00e9 qui s’appuie principalement sur l’utilisation de leurres topiques et d’ing\u00e9nierie sociale pour inciter les victimes \u00e0 s’infecter”, Cisco Talos mentionn\u00e9<\/a> dans un nouveau rapport d\u00e9taillant l’\u00e9volution du modus operandi du groupe.<\/p>\n Le groupe est connu pour avoir cibl\u00e9 un large \u00e9ventail d’organisations depuis au moins 2012, l’acteur s’appuyant principalement sur l’ing\u00e9nierie sociale bas\u00e9e sur le courrier \u00e9lectronique pour obtenir un acc\u00e8s initial \u00e0 la suppression de PlugX, une porte d\u00e9rob\u00e9e principalement d\u00e9ploy\u00e9e pour un acc\u00e8s \u00e0 long terme.<\/p>\n Les messages de phishing attribu\u00e9s \u00e0 la campagne contiennent des leurres malveillants se faisant passer pour des rapports officiels de l’Union europ\u00e9enne sur le conflit en cours en Ukraine ou des rapports du gouvernement ukrainien, qui t\u00e9l\u00e9chargent tous deux des logiciels malveillants sur des machines compromises.<\/p>\n On observe \u00e9galement des messages de phishing adapt\u00e9s pour cibler diverses entit\u00e9s aux \u00c9tats-Unis et dans plusieurs pays asiatiques comme le Myanmar, Hong Kong, le Japon et Ta\u00efwan.<\/p>\n Les conclusions font suite \u00e0 un rapport r\u00e9cent de Secureworks selon lequel le groupe aurait pu cibler des responsables du gouvernement russe en utilisant un leurre contenant PlugX qui se d\u00e9guisait en rapport sur le d\u00e9tachement frontalier de Blagoveshchensk.<\/p>\n Mais des attaques similaires d\u00e9tect\u00e9es vers la fin du mois de mars 2022 montrent que les acteurs mettent \u00e0 jour leur tactique en r\u00e9duisant les URL distantes utilis\u00e9es pour obtenir diff\u00e9rents composants de la cha\u00eene d’infection.<\/p>\n Outre PlugX, les cha\u00eenes d’infection utilis\u00e9es par le groupe APT ont impliqu\u00e9 le d\u00e9ploiement de stagers personnalis\u00e9s, de shells invers\u00e9s, Shellcode bas\u00e9 sur Meterpreter<\/a>et Cobalt Strike, qui sont tous utilis\u00e9s pour \u00e9tablir un acc\u00e8s \u00e0 distance \u00e0 leurs cibles dans le but de mener des activit\u00e9s d’espionnage et de vol d’informations.<\/p>\n “En utilisant des leurres sur le th\u00e8me des sommets et des conf\u00e9rences en Asie et en Europe, cet attaquant vise \u00e0 obtenir autant d’acc\u00e8s \u00e0 long terme que possible pour mener de l’espionnage et du vol d’informations”, ont d\u00e9clar\u00e9 les chercheurs de Talos.<\/p>\n <\/p>\n<\/div>\n![\"Attaques](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651848205_85_Des-experts-decouvrent-de-nouvelles-attaques-despionnage-par-des-pirates.jpg\" "\\"Attaques")
<\/div>\n