O grupo alinhado à China conhecido como Mustang Panda vem utilizando uma versão atualizada de um backdoor chamado TONESHELL, além de um worm para USB recém-identificado, batizado de SnakeDisk.
Pesquisadores da IBM X-Force, Golo Mühr e Joshua Chung, explicam que o worm só é executado em dispositivos com endereços IP localizados na Tailândia e instala um backdoor chamado Yokai.
Esse malware cria um reverse shell que permite a execução remota de comandos no sistema infectado.
A divisão de segurança da IBM acompanha o grupo sob o codinome Hive0154, que também é conhecido por vários outros nomes, como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus e Twill Typhoon.
Acredita-se que esse ator estatal esteja ativo desde pelo menos 2012.
O TONESHELL foi documentado pela primeira vez publicamente pela Trend Micro em novembro de 2022, como parte de ataques cibernéticos direcionados a Myanmar, Austrália, Filipinas, Japão e Taiwan entre maio e outubro.
Esse malware geralmente é executado via DLL side-loading e tem como principal função baixar payloads para etapas posteriores na máquina infectada.
Os ataques normalmente começam com campanhas de spear-phishing para instalar famílias de malware como PUBLOAD ou o próprio TONESHELL.
O PUBLOAD funciona de maneira similar ao TONESHELL e consegue baixar shellcodes a partir de requisições HTTP POST enviadas para servidores de comando e controle (C2).
As variantes recém-identificadas do TONESHELL, chamadas TONESHELL8 e TONESHELL9 pela IBM X-Force, apresentam suporte à comunicação com o C2 por meio de proxies configurados localmente.
Essa técnica ajuda o tráfego malicioso a se misturar com o tráfego legítimo das redes corporativas, além de possibilitar que duas sessões de reverse shell estejam ativas simultaneamente.
Interessante destacar que as novas versões incorporam códigos inúteis (junk code) extraídos do site do ChatGPT, o que dificulta a detecção estática e torna a análise mais complexa.
Outro malware acionado via DLL side-loading é o SnakeDisk, um worm para USB que compartilha semelhanças com o TONEDISK (também conhecido como WispRider), pertencente à família TONESHELL.
O SnakeDisk é projetado para identificar dispositivos USB conectados ao sistema e usá-los como vetor de propagação.
O worm reorganiza os arquivos presentes no pendrive, movendo-os para uma subpasta nova, enquanto cria um arquivo malicioso com o nome do volume do dispositivo ou “USB.exe”.
Isso engana o usuário, fazendo com que ele execute o malware ao tentar abrir o pendrive em outra máquina.
Após a ativação, os arquivos originais são restaurados para seu local inicial.
Um ponto importante é que o SnakeDisk só é executado se o IP público do dispositivo infectado estiver geolocalizado na Tailândia.
Além disso, ele é usado como meio para instalar o backdoor Yokai, que foi detalhado pela Netskope em dezembro de 2024 em ataques contra autoridades tailandesas.
A IBM destaca que o Yokai apresenta características comuns a outras famílias de backdoor atribuídas ao Hive0154, como PUBLOAD/PUBSHELL e TONESHELL.
Embora sejam malwares distintos, eles seguem estruturas semelhantes e usam técnicas parecidas para estabelecer um reverse shell com seus servidores de C2.
O uso desses malwares indica a existência de um subgrupo do Mustang Panda altamente focado em alvos na Tailândia, reforçando a constante evolução e aprimoramento das ferramentas desse ator de ameaça.
De acordo com a IBM, "Hive0154 segue sendo um grupo de alto nível, com múltiplos subclusters ativos e ciclos de desenvolvimento frequentes.
Eles mantêm um vasto ecossistema de malware, com sobreposições frequentes em código malicioso, técnicas de ataque e alvos."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...