Свързаният с Китай актьор Мустанг Панда е свързан с кибератака, насочена срещу филипинска правителствена структура, на фона на нарастващото напрежение между двете държави заради спорното Южнокитайско море.
Звено 42 на Palo Alto Networks приписва на противниковия колектив три кампании през август 2023 г., насочени предимно към организации в южната част на Тихия океан.
„Кампаниите използваха легитимен софтуер, включително Solid PDF Creator и SmadavProtect (базирано в Индонезия антивирусно решение), за странично зареждане на злонамерени файлове“, заявиха от компанията.
„Авторите на заплахите също така творчески конфигурираха зловредния софтуер, за да се представя за легитимен трафик на Microsoft за връзки за командване и контрол (C2).“
Mustang Panda, проследяван и под имената Bronze President, Camaro Dragon, Earth Preta, RedDelta и Stately Taurus, се оценява като китайска усъвършенствана постоянна заплаха (APT), активна поне от 2012 г., която организира кампании за кибершпионаж, насочени към неправителствени организации (НПО) и правителствени органи в Северна Америка, Европа и Азия.
В края на септември 2023 г. Отдел 42 също така замесва субекта на заплаха в атаки, насочени към неназовано правителство от Югоизточна Азия, за разпространение на вариант на задна вратичка, наречен TONESHELL.
Последните кампании използват spear-phishing имейли, за да доставят зловреден ZIP архивен файл, който съдържа измамна динамична библиотека (DLL), стартирана с помощта на техника, наречена DLL side-loading. Впоследствие DLL установява контакт с отдалечен сървър.
Оценено е, че правителствената структура на Филипините вероятно е била компрометирана в продължение на пет дни между 10 и 15 август 2023 г.
Използването на SmadavProtect е позната тактика, възприета от Mustang Panda през последните месеци, като са внедрили зловреден софтуер, изрично предназначен да заобиколи решението за сигурност
„Stately Taurus продължава да демонстрира способността си да провежда постоянни кибершпионски операции като една от най-активните китайски APT“, заявиха изследователите.
„Тези операции са насочени към различни субекти в световен мащаб, които съответстват на геополитически теми, представляващи интерес за китайското правителство.“
Разкритието идва в момент, когато беше разкрит южнокорейски APT актьор на име Higaisa, насочен към китайски потребители чрез фишинг уебсайтове, имитиращи добре познати софтуерни приложения като OpenVPN.
„След като бъде изпълнен, инсталаторът пуска и стартира в системата зловреден софтуер, базиран на Rust, като впоследствие задейства шелкод“, заяви Cyble в края на миналия месец. „Шелкодът извършва операции за борба с дебъгването и декриптирането. След това установява криптирана комуникация за командване и управление (C&C) с отдалечен Threat Actor (TA).“
