Mustang Panda, un gruppo di hacker collegato alla Cina, è stato recentemente associato a un attacco informatico contro un’entità governativa delle Filippine, in un contesto di crescenti tensioni tra i due paesi per il controverso Mar Cinese Meridionale. Unit 42 di Palo Alto Networks ha attribuito al collettivo avversario tre campagne nel mese di agosto 2023, prendendo di mira principalmente organizzazioni nel Pacifico del Sud.
Tattiche sofisticate e obiettivi globali
Le campagne hanno sfruttato software legittimi, tra cui Solid PDF Creator e SmadavProtect (una soluzione antivirus indonesiana), per caricare file dannosi. Gli autori delle minacce hanno anche configurato creativamente il malware per impersonare il traffico legittimo di Microsoft per le connessioni di comando e controllo (C2). Mustang Panda, noto anche con i nomi di Bronze President, Camaro Dragon, Earth Preta, RedDelta e Stately Taurus, è considerato una minaccia persistente avanzata (APT) cinese attiva dal 2012, orchestrando campagne di cyber spionaggio contro organizzazioni non governative (ONG) e enti governativi in Nord America, Europa e Asia.
Strategie di attacco e impatto geopolitico
Nel settembre 2023, Unit 42 ha anche implicato l’attore della minaccia in attacchi mirati a un governo del Sud-Est Asiatico non specificato per distribuire una variante di un backdoor chiamato TONESHELL. Le ultime campagne sfruttano email di spear-phishing per consegnare un file ZIP dannoso che contiene una libreria a collegamento dinamico (DLL) canaglia, lanciata tramite una tecnica chiamata DLL side-loading. La DLL stabilisce successivamente un contatto con un server remoto. Si ritiene che l’entità governativa delle Filippine sia stata compromessa in un periodo di cinque giorni tra il 10 e il 15 agosto 2023.
L’uso di SmadavProtect è una tattica nota adottata da Mustang Panda negli ultimi mesi, soprattutto nelle Filippine, avendo distribuito malware progettato espressamente per eludere la soluzione di sicurezza. “Stately Taurus continua a dimostrare la sua capacità di condurre operazioni persistenti di cyber spionaggio come uno degli APT cinesi più attivi“, hanno detto i ricercatori. “Queste operazioni prendono di mira una varietà di entità a livello globale che si allineano con argomenti geopolitici di interesse per il governo cinese.”