L’attore di minaccia con base in Cina, noto come Mustang Panda, è sospettato di aver preso di mira i Ministeri della Difesa e degli Affari Esteri di Myanmar in due campagne distinte, volte a implementare backdoor e trojan per l’accesso remoto. Queste attività, avvenute tra novembre 2023 e gennaio 2024, sono emerse dopo che artefatti legati agli attacchi sono stati caricati sulla piattaforma VirusTotal.
Tattiche e Tecniche
Mustang Panda, attivo dal 2012, è noto anche con i nomi BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus e TEMP.Hex. In questi attacchi, è stata utilizzata una combinazione di software legittimi per il sideload di librerie dinamiche malevole (DLL), tra cui un binario sviluppato dalla Bernecker & Rainer (B&R) e un componente dell’assistente all’aggiornamento di Windows 10.
Sequenza di Infezione e Obiettivi
La sequenza di infezione inizia con un’email di phishing contenente un allegato ZIP truccato con un eseguibile legittimo e un file DLL. L’attacco sfrutta la vulnerabilità del binario al hijacking dell’ordine di ricerca delle DLL per caricare la DLL dannosa, stabilire la persistenza e contattare il server di comando e controllo (C2) per recuperare una backdoor conosciuta come PUBLOAD, che funge da loader personalizzato per distribuire l’implant PlugX.
Preoccupazioni Geopolitiche
L’operazione “Stately Taurus” si allinea agli interessi geopolitici del governo cinese, inclusa la condotta di molteplici operazioni di cyber spionaggio contro Myanmar in passato e non sorprende che dietro ci possa essere Mustang Panda. L’attacco riflette le preoccupazioni della Cina riguardo alle implicazioni degli attacchi ribelli nel nord di Myanmar sulle rotte commerciali e sulla sicurezza lungo il confine Myanmar-Cina.