O ator de ameaças ligado à China, conhecido como Mustang Panda, foi atribuído a uma nova campanha de espionagem cibernética direcionada à comunidade tibetana.
Os ataques de spear-phishing exploraram temas relacionados ao Tibete, como a 9ª Convenção Mundial de Parlamentares sobre o Tibete (WPCT), a política educacional da China na Região Autônoma do Tibete (TAR) e um livro recentemente publicado pelo 14º Dalai Lama, de acordo com a IBM X-Force.
A divisão de cibersegurança da empresa de tecnologia disse que observou a campanha no início deste mês, com os ataques levando à implantação de um malware conhecido do Mustang Panda chamado PUBLOAD.
Está rastreando o ator de ameaças sob o nome Hive0154.
As cadeias de ataque empregam iscas temáticas sobre o Tibete para distribuir um arquivo malicioso contendo um arquivo Microsoft Word benigno, juntamente com artigos reproduzidos por sites tibetanos e fotos da WPCT, para a abertura de um executável disfarçado de documento.
O executável, conforme observado em ataques anteriores do Mustang Panda, aproveita o carregamento lateral de DLL para lançar uma DLL maliciosa denominada Claimloader, que é então usada para implantar o PUBLOAD, um malware downloader responsável por contatar um servidor remoto e buscar um payload útil de próxima fase denominada Pubshell.
Pubshell é um "backdoor leve que facilita o acesso imediato à máquina via um reverse shell", disseram os pesquisadores de segurança Golo Mühr e Joshua Chung em uma análise publicada esta semana.
Neste estágio, vale mencionar algumas das diferenças de nomenclatura: a IBM deu o nome de Claimloader ao estagiário personalizado documentado pela primeira vez pela Cisco Talos em maio de 2022 e PUBLOAD ao downloader de shellcode da primeira fase, enquanto a Trend Micro identifica tanto o estagiário quanto o downloader como PUBLOAD.
A TeamT5, similarmente, rastreia os dois componentes coletivamente como NoFive.
O desenvolvimento vem semanas após a atividade da IBM, que disse ser o trabalho de um sub-cluster Hive0154 visando os Estados Unidos, Filipinas, Paquistão e Taiwan de final de 2024 a início de 2025.
Esta atividade, como no caso daquelas visando o Tibete, utiliza arquivos armados originários de e-mails de spear-phishing para atacar entidades governamentais, militares e diplomáticas.
As missivas digitais contêm links para URLs do Google Drive que baixam os arquivos ZIP ou RAR armadilhados ao clicar, resultando, em última análise, na implantação de TONESHELL em 2024 e PUBLOAD a partir deste ano via Claimloader.
TONESHELL, outro malware frequentemente usado pelo Mustang Panda, funciona de maneira semelhante ao Pubshell, pois também é usado para criar um reverse shell e executar comandos no host comprometido.
"A implementação do reverse shell do Pubshell via tubos anônimos é quase idêntica ao TONESHELL", disseram os pesquisadores.
No entanto, em vez de executar uma nova thread para retornar imediatamente quaisquer resultados, o Pubshell requer um comando adicional para retornar resultados de comandos.
Ele também só suporta a execução de 'cmd.exe' como um shell.
"De várias maneiras, PUBLOAD e Pubshell parecem ser uma 'versão lite' desenvolvida independentemente do TONESHELL, com menos sofisticação e claras sobreposições de código." Os ataques direcionados a Taiwan foram caracterizados pelo uso de um worm USB chamado HIUPAN (também conhecido como MISTCLOAK ou U2DiskWatch), que é então aproveitado para espalhar Claimloader e PUBLOAD através de dispositivos USB.
"Hive0154 permanece um ator de ameaça altamente capaz com múltiplos sub-clusters ativos e ciclos de desenvolvimento frequentes", disseram os pesquisadores.
Grupos alinhados com a China como o Hive0154 continuarão a refinar seu grande arsenal de malwares e manter um foco em organizações baseadas no Leste Asiático nos setores privado e público.
Sua ampla variedade de ferramentas, ciclos de desenvolvimento frequentes e distribuição de malware baseada em worm USB destacam-nos como um ator de ameaça sofisticado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...