Una minaccia avanzata persistente (APT) con sede in Cina, conosciuta come Mustang Panda, è stata collegata a una campagna di spionaggio informatico in corso, utilizzando una variante precedentemente non documentata del trojan PlugX ad accesso remoto sulle macchine infette.
La società di cybersicurezza slovacca ESET ha soprannominato la nuova versione Hodur, a causa della sua somiglianza con un’altra variante PlugX (aka Korplug) chiamata THOR che è venuta alla luce nel luglio 2021.
“La maggior parte delle vittime si trova in Asia orientale e sud-orientale, ma alcune sono in Europa (Grecia, Cipro, Russia) e in Africa (Sud Africa, Sud Sudan) Le vittime conosciute includono enti di ricerca, fornitori di servizi internet (ISP) e missioni diplomatiche europee situate per lo più in Asia orientale e sud-orientale“.
Mustang Panda, noto anche come TA416, HoneyMyte, RedDelta, o PKPLUG, è un gruppo di spionaggio informatico che è principalmente noto per prendere di mira le organizzazioni non governative con un focus specifico sulla Mongolia.
L’ultima campagna, che risale almeno all’agosto 2021, fa uso di una catena di compromesso con una serie in continua evoluzione di documenti esca relativi agli eventi in corso in Europa e la guerra in Ucraina.
“Altre esche di phishing menzionano restrizioni di viaggio COVID-19 aggiornate, una mappa di aiuti regionali approvata per la Grecia e un regolamento del Parlamento europeo e del Consiglio“, ha detto ESET. “L’esca finale è un vero documento disponibile sul sito web del Consiglio europeo. Questo dimostra che il gruppo APT dietro questa campagna segue l’attualità ed è in grado di reagire con successo e rapidamente“.
Indipendentemente dall’esca di phishing impiegata, le infezioni culminano nel dispiegamento della backdoor Hodur sull’host Windows compromesso.
“La variante utilizzata in questa campagna ha molte somiglianze con la variante THOR, ed è per questo che l’abbiamo chiamata Hodur“, ha spiegato Côté Cyr. “Le somiglianze includono l’uso della chiave di registro Software\CLASSES\ms-pu, lo stesso formato per i server [command-and-control] nella configurazione e l’uso della classe Static window“.
Hodur, da parte sua, è equipaggiato per gestire una varietà di comandi, permettendo all’impianto di raccogliere ampie informazioni di sistema, leggere e scrivere file arbitrari, eseguire comandi e lanciare una sessione cmd.exe remota.
I risultati di ESET sono in linea con le rivelazioni pubbliche del Threat Analysis Group (TAG) di Google e di Proofpoint, entrambi i quali hanno dettagliato una campagna Mustang Panda per distribuire una variante aggiornata di PlugX all’inizio di questo mese.
“Le esche utilizzate in questa campagna mostrano ancora una volta quanto velocemente Mustang Panda sia in grado di reagire agli eventi mondiali“, ha detto Côté Cyr. “Questo gruppo dimostra anche una capacità di migliorare iterativamente i suoi strumenti, compresa la sua firma, l’uso dei downloader tridente per distribuire Korplug“.
