O grupo de espionagem Mustang Panda, alinhado à China, está conduzindo duas campanhas contra o governo da Índia e alvos do setor de energia hidrelétrica, com o uso de malware novo e a transformação de um serviço legítimo de cloud em canal de comando e controle.
A Acronis Threat Research Unit identificou compromissos ativos em redes do governo indiano, inclusive em máquinas usadas por equipes administrativas de alto escalão, e atuou em parceria com o CERT-In para notificação e limpeza dos sistemas.
O malware abusa do Zoho WorkDrive, uma plataforma de armazenamento em cloud bastante usada no setor público indiano, para transmitir comandos e exfiltrar dados.
A lógica é simples: o tráfego parece atividade comum de cloud, o que ajuda a esconder a ação dentro da própria rede da vítima.
A Acronis identificou três novas ferramentas.
O SHARDLOADER é um loader que executa sideloading de uma DLL maliciosa por meio de um binário assinado legitimamente, usando um executável do Solid PDF Creator em uma campanha e um binário do Citrix Receiver na outra.
Ele implanta um de dois implantes.
O MINIRECON é uma variante reformulada do backdoor Toneshell, documentado pela IBM X-Force, e agora faz comunicação periódica via uma conexão WebSocket sobre HTTPS.
O ZOHOMURK é o componente mais novo.
Ele traz credenciais OAuth do Zoho hardcoded e as usa para operar uma conta do WorkDrive controlada pelo atacante como um repositório intermediário, lendo comandos de uma pasta de entrada e gravando a saída roubada em uma pasta de saída.
As duas campanhas chegam em arquivos ZIP com a DLL maliciosa marcada como oculta.
A Acronis acredita que a entrega ocorreu por meio de spear phishing.
As iscas combinam com os alvos: uma tinha como tema uma proposta de cooperação em hidrelétricas, enquanto a outra tratava de um memorando de entendimento entre instituições indianas e taiwanesas.
Segundo a Acronis, o objetivo é obter inteligência sobre os planos da Índia para o setor hidrelétrico e sobre seus vínculos de defesa com Taiwan.
A empresa atribui a atividade ao Mustang Panda com alto grau de confiança.
O relatório cita ainda a reutilização da cadeia de sideloading do Solid PDF Creator, sobreposição de código com o Toneshell, servidores de comando localizados no mesmo bloco de rede de uma infraestrutura que a IBM X-Force associou ao grupo e um erro de digitação recorrente, RunOnece, presente em vários implantes.
A segurança operacional foi fraca.
Tokens hardcoded, identificadores em texto simples e infraestrutura reutilizada ajudaram os analistas a ligar os pontos.
A atividade de beaconing esteve em andamento de 12 a 22 de junho de 2026.
Esse movimento reforça uma pressão contínua contra alvos indianos.
Em abril, a Acronis associou o backdoor LOTUSLITE do grupo a ataques contra o setor bancário da Índia e círculos de formulação de políticas da Coreia do Sul, também com uso de um serviço legítimo de cloud.
O interesse mais amplo ligado à China no setor de energia indiano vem de antes: a campanha RedEcho, em 2021, mirou a rede elétrica do país com o ShadowPad.
Não há patch para aplicar.
A defesa depende de detectar a entrega inicial e o abuso de cloud.
A Acronis publicou indicadores e orientações de caça, incluindo chaves de persistência Run, uma tarefa agendada chamada SolidPDFPcl2Bmp, o domínio de C2 couldinstallup[.]com e os user agents do Zoho que aparecem em processos que não são de navegador.
Organizações governamentais e do setor de energia, especialmente as ligadas a acordos transfronteiriços que possam interessar a Pequim, devem monitorar iscas de natureza geopolítica e casos de sideloading a partir de binários assinados.
Também é importante sinalizar qualquer processo em endpoint que esteja chamando APIs de cloud sem motivo legítimo para isso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...