Китайската група за кибершпионаж MustangPanda напоследък е много активна, извършвайки тясно насочени атаки срещу правителства на различни държави, както и срещу образователни и изследователски институции, твърди проучване на компанията за сигурност TrendMicro.
Групата има интереси на всеки континент на планетата, но Австралия изглежда е във фокуса на вниманието на кибер-шпионите. Освен това се наблюдава повишен интерес на групата към Мианмар, Филипините, Япония и Тайван.
Mustang Panda е известна още като Bronze President, Earth Preta, HoneyMyte и Red Lich. Тази група атакува правителства поне от 2018 година, като използва зловреден софтуер China Chopper, Cobalt Strike и PlugX, за да получи данни от компрометираните среди.
Дейността на групата е записвана и анализирана по различно време от различни компании за киберсигурност, включително Eset, Google, Proofpoint, Cisco Talos и Secureworks.
Според Trend Micro, която използва номенклатурата Earth Preta, напоследък групата усъвършенства своите стелт-техники и активно разпространява фамилиите злонамерен софтуер Toneins, Toneshell и Pubload, в допълнение към споменатите по-горе.
По-специално, операторите на Mustang Panda/Earth Preta използват фалшиви акаунти в Google, за да изпращат фишинг имейли; самият зловреден софтуер се съхранява в RAR/ZIP/JAR архиви в облака на Google Drive.
В някои случаи фишинг съобщенията са разпространяват от предварително хакнати имейл адреси, принадлежащи на определени организации. Очевидно по този начин хакерите искат да увеличат шансовете си за успех.
Като основна примамка групата използва документи по “противоречиви геополитически теми” и изглежда това е проработило повече от веднъж. Когато документите-примамки бъдат отворени, зловредният софтуер влиза в целевата система чрез DLLside-loading.
Три трудни за откриване модули се зареждат в системата наведнъж: Toneins (инсталатор), Toneshell (главна задна врата – backdoor) и Pubload („stager“ – злонамерена програма, чиято задача е да изтегли следващите компоненти от пакета). Pubload беше открит от Cisco Talos през май 2022 г.; два други софтуера, тясно свързани с него, все още не са наблюдавани.
Съдържанието на документите за примамка може да свидетелства за предварително разузнаване, извършено от нападателите, коментира TrendMicro. В допълнение, всички документи, откраднати от жертвите, могат по-късно да бъдат използвани като „вектори“ за последващи вълни от атаки, вече срещу други организации.