Il gruppo di minaccia collegato alla Cina, noto come Mustang Panda, ha preso di mira vari paesi asiatici utilizzando una variante avanzata del backdoor PlugX, denominata DOPLUGS. Questo attacco sottolinea l’evoluzione continua delle tecniche di cyber spionaggio e la sofisticazione degli attori di minaccia statali.
Caratteristiche di DOPLUGS utilizzato da Mustang Panda
DOPLUGS, a differenza delle tipiche varianti di PlugX che includono un modulo completo di backdoor, è utilizzato principalmente per scaricare altre varianti di PlugX, ampliando così le capacità di intrusione e persistenza all’interno delle reti colpite. Questa variante personalizzata è stata individuata principalmente a Taiwan e Vietnam, con attacchi meno frequenti a Hong Kong, India, Giappone, Malesia, Mongolia e persino in Cina.
Tattiche e Tecniche
Mustang Panda è noto per le sue campagne di spear-phishing ben orchestrate, finalizzate al dispiegamento di malware personalizzati. Utilizza catene di compromissione che sfruttano messaggi di phishing per consegnare payload di primo stadio, che a loro volta decomprimono eseguibili legittimi vulnerabili al sideloading di DLL per caricare dinamicamente le librerie (DLL) che decrittano ed eseguono PlugX.
Novità nell’Approccio
Un aspetto distintivo di DOPLUGS rispetto alle precedenti campagne di Mustang Panda è l’uso del linguaggio di programmazione Nim per scrivere la DLL malevola, oltre a un’implementazione proprietaria dell’algoritmo RC4 per la decrittazione di PlugX, deviando dall’uso della libreria Cryptsp.dll di Windows.
Integrazione di KillSomeOne
Oltre a DOPLUGS, Trend Micro ha identificato campioni integrati con un modulo noto come KillSomeOne, responsabile della distribuzione di malware, raccolta di informazioni e furto di documenti tramite dispositivi USB. Questa variante include un componente launcher aggiuntivo che esegue l’eseguibile legittimo per il sideloading di DLL, aggiungendo la capacità di eseguire comandi e scaricare malware di fase successiva da un server controllato dall’attore.
Implicazioni per la Sicurezza
L’evoluzione continua degli strumenti di Mustang Panda, come evidenziato dall’uso di DOPLUGS e dall’integrazione del modulo KillSomeOne, sottolinea l’importanza di una difesa in profondità e di una vigilanza costante da parte delle organizzazioni, specialmente in Europa e Asia dove il gruppo rimane particolarmente attivo.
La raffinatezza di queste campagne e la costante innovazione nei toolkit di cyber attacco richiedono un’attenzione continua alla sicurezza informatica e alle misure di mitigazione delle minacce per proteggere le infrastrutture critiche e le informazioni sensibili.
