Il gruppo Mustang Panda, noto per le sue attività di cyber spionaggio legate alla Cina, è stato recentemente collegato a una nuova campagna mirata contro la comunità tibetana. Gli attacchi sono stati condotti principalmente tramite spear phishing, utilizzando temi e documenti che trattano eventi e questioni di grande interesse per la comunità tibetana, come la Convention mondiale dei parlamentari sul Tibet e politiche educative cinesi nella regione autonoma del Tibet. L'obiettivo era convincere le vittime ad aprire archivi malevoli che contengono sia documenti di Microsoft Word apparentemente innocui che immagini e articoli già diffusi su siti tibetani.
Catena di infezione e strumenti utilizzati
Questa campagna sfrutta una catena di infezione piuttosto articolata: il vero payload è un eseguibile mascherato da documento, che sfrutta la tecnica del DLL side-loading per caricare una DLL dannosa denominata Claimloader. Quest’ultima, a sua volta, serve per distribuire PUBLOAD, un malware downloader tipico degli attacchi Mustang Panda. PUBLOAD contatta un server remoto per scaricare un secondo payload chiamato Pubshell. Pubshell è una backdoor leggera che consente agli attaccanti di ottenere accesso immediato al sistema compromesso tramite reverse shell, facilitando l’esecuzione di comandi da remoto.
La nomenclatura della catena di infezione può variare tra i diversi ricercatori: IBM definisce Claimloader il primo stager e PUBLOAD il downloader vero e proprio, mentre altre fonti raggruppano entrambi sotto il nome di PUBLOAD o NoFive. La campagna Mustang Panda analizzata rientra in una tendenza più ampia, che coinvolge anche altri paesi come Stati Uniti, Filippine, Pakistan e Taiwan. In questi casi, la distribuzione del malware avviene sempre tramite archivi ZIP o RAR veicolati da link Google Drive, contenenti eseguibili camuffati da documenti legittimi.
Malware aggiuntivi e tecniche di propagazione
Oltre a PUBLOAD e Pubshell, Mustang Panda utilizza spesso anche il malware TONESHELL, che consente anch’esso la creazione di una reverse shell. Le varianti di Pubshell e TONESHELL presentano somiglianze tecniche e differenze minime nella gestione dei comandi remoti. In alcune campagne contro Taiwan è stato individuato anche un verme USB chiamato HIUPAN, impiegato per diffondere ulteriormente Claimloader e PUBLOAD tramite dispositivi rimovibili.
Il gruppo Hive0154, identificato come un sottoinsieme di Mustang Panda, continua ad affinare il proprio arsenale malware e mostra un’attenzione particolare alle organizzazioni sia pubbliche che private dell’Est asiatico, distinguendosi per la varietà di strumenti, la frequenza degli aggiornamenti e l’uso di tecniche di propagazione fisica come i worm USB.