Mustang Panda abusa di Zoho WorkDrive per spiare governo ed energia in India

🛡️ Executive Summary

• Mustang Panda, gruppo allineato alla Cina, colpisce governo ed energia in India con spear-phishing e DLL sideloading.
• Gli impianti MINIRECON e ZOHOMURK abusano di Zoho WorkDrive per comando, controllo ed esfiltrazione dati.
• Le mitigazioni richiedono controllo degli accessi cloud, detection su DLL sideloading, monitoraggio OAuth e verifica degli host compromessi.

Il gruppo di spionaggio Mustang Panda, storicamente allineato agli interessi strategici della Cina, ha condotto due campagne parallele contro obiettivi governativi ed energetici in India, abusando di Zoho WorkDrive come infrastruttura legittima per comando, controllo ed esfiltrazione. Le operazioni, analizzate da Acronis Threat Research Unit, hanno impiegato nuovi impianti malware denominati MINIRECON e ZOHOMURK, distribuiti tramite il loader SHARDLOADER attraverso tecniche di DLL sideloading. I bersagli includono personale amministrativo senior, reti governative e soggetti legati ai piani idroelettrici indiani, con un interesse specifico verso progetti energetici, cooperazione internazionale e rapporti di difesa tra India e Taiwan. La campagna conferma l’evoluzione delle operazioni APT cinesi verso l’abuso di servizi cloud legittimi, capaci di mimetizzare il traffico malevolo dentro flussi aziendali apparentemente normali.

Mustang Panda torna a colpire obiettivi strategici indiani

Mustang Panda, tracciato nel framework MITRE ATT&CK come G0129, è considerato uno degli attori di spionaggio più persistenti collegati alla Cina. L’attribuzione delle campagne contro l’India si basa su più elementi tecnici, tra cui sovrapposizioni di codice con famiglie malware già note, infrastrutture riconducibili a precedenti operazioni e ricorrenze lessicali caratteristiche del gruppo. Gli analisti hanno individuato errori di battitura già osservati in vecchi campioni, come RunOnece, insieme a somiglianze con varianti del backdoor Toneshell. Le operazioni recenti mostrano un interesse mirato verso reti governative, dispositivi usati da personale amministrativo di alto livello e infrastrutture collegate al settore idroelettrico. Il beaconing rilevato tra il 12 e il 22 giugno 2026 indica attività operative concentrate e coerenti con una campagna di raccolta informativa su obiettivi sensibili.

Spear-phishing con esche su idroelettrico e Taiwan

La catena d’attacco parte da archivi ZIP distribuiti tramite spear-phishing, costruiti attorno a temi geopolitici credibili per le vittime. I file di richiamo includono nomi come Hydropower Cooperation Project Proposal.zip e MOU USI-INDSR TAIWAN.zip, con riferimenti a proposte di cooperazione idroelettrica e memorandum d’intesa tra istituzioni indiane e taiwanesi. Un documento di prova denominato test.doc, datato 4 giugno 2026, richiama inoltre temi nazionali come la missione IndiaAI, il programma Atmanirbhar Bharat e il bilancio dell’Unione 2026-27. La scelta delle esche mostra una preparazione accurata dell’operazione, pensata per intercettare figure coinvolte in dossier energetici, tecnologici e diplomatici. Gli archivi contengono un eseguibile legittimo firmato digitalmente e una DLL malevola nascosta, predisposta per essere caricata in modo silenzioso attraverso sideloading.

SHARDLOADER sfrutta DLL sideloading e binari firmati

Il loader SHARDLOADER rappresenta il primo elemento tecnico della catena d’infezione. Le varianti v1.0 e v1.1 osservate nelle campagne sfruttano eseguibili legittimi firmati, tra cui Solid PDF Creator e Citrix Receiver, per caricare una DLL malevola esportata tramite funzioni come GetSPApp. La DLL recupera shellcode da sezioni .rdata offuscate, applica una decrittazione XOR con chiavi da 28 byte e riordina i byte prima dell’esecuzione. Il payload, composto da circa 34.816 byte assemblati da 69 funzioni, viene allocato in memoria ed eseguito tramite callback come EnumSystemLocalesA. Questa tecnica consente agli aggressori di eseguire codice malevolo nel contesto di applicazioni considerate affidabili, riducendo la probabilità di rilevamento da parte dei controlli basati sulla reputazione dei file e sulle firme digitali.

MINIRECON evolve il backdoor Toneshell

MINIRECON è una variante rielaborata del backdoor Toneshell, in particolare della versione 8, già associata a precedenti attività di Mustang Panda. L’impianto utilizza tecniche di PEB walking per localizzare kernel32.dll e risolve le API tramite hashing con moltiplicatore 13131313, riducendo i riferimenti statici utili all’analisi. Genera chiavi di sessione con un generatore lineare congruenziale e applica cifratura XOR a 256 byte con chiavi in chiaro anteposte. Le funzionalità includono shell inverse parallele, operazioni su file, esecuzione di comandi remoti tramite opcode da 1 a 7 e catene di drop-and-execute. La comunicazione avviene tramite WebSocket su HTTPS, usando WinHTTP con validazione dei certificati disabilitata e fallback su proxy locali. Il server C2 opera con Python 3.12 e libreria websockets, mentre il dominio couldinstallup[.]com risulta ospitato su un indirizzo IP indiano appartenente a un blocco di rete già collegato a infrastrutture del gruppo.

ZOHOMURK trasforma Zoho WorkDrive in canale C2

L’impianto più significativo della campagna è ZOHOMURK, malware inedito che sfrutta Zoho WorkDrive come canale di comando, controllo ed esfiltrazione. L’impianto contiene credenziali OAuth hardcoded, inclusi refresh token, client ID e secret, utilizzate per autenticarsi verso accounts.zoho.com. Dopo l’accesso, crea strutture di cartelle tramite le API di WorkDrive e implementa una logica di dead drop resolver: legge comandi da una cartella inbox e scrive i risultati in una cartella outbox. L’identificativo della vittima viene generato combinando hostname e indirizzo IP pubblico ottenuto da ipinfo.io, poi cifrato con XOR e codificato in esadecimale per creare nomi di cartelle non immediatamente riconoscibili. Un thread di heartbeat verifica ogni 50 secondi l’esistenza delle directory e le ricrea se vengono eliminate. I comandi vengono scaricati in readata.dat, decrittati ed eseguiti secondo opcode dedicati a operazioni su file, shell remota e terminazione della sessione. Il traffico verso Zoho usa user agent simili a client legittimi, rendendo difficile distinguerlo da un normale utilizzo cloud aziendale.

Persistenza, anti-analisi e reazione alle sandbox

Gli impianti stabiliscono persistenza attraverso chiavi di registro Run e task pianificati creati tramite le API COM del Task Scheduler. Tra gli esempi osservati compaiono voci come MediumNetMonIt, MicrosoftEdgeUpdateBrokerTask e il task SolidPDFPcl2Bmp, configurato con trigger giornalieri. I payload vengono ospitati in directory nascoste come C:\ProgramData\IDM\logs\ o C:\Users\Public\Documents, percorsi scelti per mimetizzarsi all’interno di strutture apparentemente ordinarie. Le tecniche anti-analisi includono controlli di timing tramite QueryPerformanceCounter per rilevare debugger o rallentamenti artificiali, oltre a verifiche ambientali prima dell’installazione della persistenza. In presenza di segnali compatibili con sandbox, l’impianto può avviare attività di ricognizione live, enumerare il desktop e tentare cancellazione o corruzione di file, comportamento pensato per complicare l’analisi e aumentare il costo operativo della risposta.

Zoho WorkDrive mostra il rischio dei servizi cloud legittimi

L’abuso di Zoho WorkDrive è particolarmente rilevante perché dimostra come gli APT stiano spostando parte delle operazioni su piattaforme SaaS legittime e molto diffuse. In contesti governativi e aziendali, il traffico verso servizi cloud noti viene spesso considerato normale e può ricevere meno attenzione rispetto a connessioni verso domini sconosciuti o infrastrutture bulletproof. Questo permette agli attaccanti di nascondere C2 ed esfiltrazione dentro flussi apparentemente leciti, sfruttando API ufficiali, autenticazione OAuth e nomi di cartelle generati dinamicamente. Per le organizzazioni indiane coinvolte in energia, difesa e cooperazione internazionale, la campagna evidenzia la necessità di monitorare non solo malware e payload locali, ma anche utilizzo anomalo di servizi cloud autorizzati, creazione inconsueta di cartelle, token OAuth sospetti, pattern di accesso fuori orario e trasferimenti non coerenti con il profilo dell’utente.

Le campagne si inseriscono nella pressione cinese sull’India

Le operazioni contro governo e idroelettrico indiano si collocano in un contesto più ampio di attività attribuite ad attori cinesi contro l’India. Negli anni precedenti sono emerse campagne contro il settore bancario con il malware LOTUSLITE e operazioni contro la rete elettrica indiana attribuite a RedEcho con utilizzo di ShadowPad. L’interesse per l’energia, le infrastrutture critiche e i rapporti con Taiwan riflette priorità strategiche che vanno oltre il singolo incidente informatico. Durante l’indagine, Acronis ha identificato sistemi compromessi all’interno di enti governativi indiani e ha collaborato con le autorità locali per notificare le vittime e supportare la bonifica. La campagna conferma che lo spionaggio cyber contemporaneo non punta soltanto ai dati immediatamente disponibili, ma alla costruzione di accessi persistenti dentro ecosistemi istituzionali, energetici e diplomatici dove informazioni tecniche, documenti strategici e reti di contatti hanno valore geopolitico diretto.