O ator Mustang Panda, ligado à China, foi associado a um ciberataque que visou uma entidade governamental das Filipinas em meio a crescentes tensões entre os dois países sobre o disputado Mar do Sul da China.
A Unidade 42 da Palo Alto Networks atribuiu o coletivo adversário a três campanhas em agosto de 2023, destacando principalmente organizações no Pacífico Sul.
"As campanhas exploraram software legítimo, incluindo o Solid PDF Creator e o SmadavProtect (uma solução antivírus com base na Indonésia) para carregar arquivos maliciosos", disse a empresa.
"Os autores das ameaças também configuraram criativamente o malware para se passar por tráfego legítimo da Microsoft para conexões de comando e controle (C2)".
Mustang Panda, também rastreado sob os nomes Bronze President, Camaro Dragon, Earth Preta, RedDelta e Stately Taurus, é avaliado como uma ameaça persistente avançada (APT) chinesa ativa desde pelo menos 2012, orquestrando campanhas de espionagem cibernética visando organizações não governamentais (ONGs) e órgãos governamentais em toda a América do Norte, Europa e Ásia.
No final de setembro de 2023, a Unidade 42 também implicou o ator da ameaça em ataques direcionados a um governo do Sudeste Asiático não nomeado para distribuir uma variante de uma backdoor chamada TONESHELL.
As últimas campanhas usam emails de spear-phishing para entregar um arquivo de arquivo ZIP malicioso que contém uma biblioteca de links dinâmicos (DLL) falsa que é lançada usando uma técnica chamada carregamento lateral de DLL.
A DLL então estabelece contato com um servidor remoto.
Foi avaliado que a entidade governamental das Filipinas provavelmente foi comprometida em um período de cinco dias entre 10 e 15 de agosto de 2023.
O uso do SmadavProtect é uma tática conhecida adotada pelo Mustang Panda nos últimos meses, tendo implantado malware expressamente projetado para contornar a solução de segurança.
"Stately Taurus continua demonstrando sua capacidade de conduzir operações persistentes de espionagem cibernética como uma das APTs chinesas mais ativas", disseram os pesquisadores.
"Essas operações visam uma variedade de entidades globalmente que se alinham com tópicos geopolíticos de interesse para o governo chinês."
A revelação surge quando um ator APT sul-coreano chamado Higaisa foi descoberto visando usuários chineses através de sites de phishing imitando aplicativos de software bem conhecidos, como OpenVPN.
"Uma vez executado, o instalador solta e executa malware baseado em Rust no sistema, acionando subsequentemente um shellcode", disse a Cyble no final do mês passado.
"O shellcode realiza operações anti-depuração e descriptografia.
Posteriormente, ele estabelece uma comunicação de comando e controle (C&C) criptografada com um Ator de Ameaça (TA) remoto."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...