O ator da ameaça rastreado como Panda Mustang refinou seu arsenal de malware para incluir novas ferramentas para facilitar a exfiltração de dados e a implantação de cargas úteis de próximo estágio, de acordo com novas descobertas da Development Micro.
A empresa de segurança cibernética, que monitora o cluster de atividades sob o nome Earth Preta, disse ter observado “a propagação do PUBLOAD por meio de uma variante do worm HIUPAN”.
O PUBLOAD é um malware de obtain conhecido, vinculado ao Mustang Panda desde o início de 2022, implantado como parte de ataques cibernéticos direcionados a entidades governamentais na região da Ásia-Pacífico (APAC) para distribuir o malware PlugX.
“O PUBLOAD também foi usado para introduzir ferramentas suplementares no ambiente dos alvos, como o FDMTP para servir como uma ferramenta de controle secundária, que foi observada executando tarefas semelhantes às do PUBLOAD; e o PTSOCKET, uma ferramenta usada como uma opção alternativa de exfiltração”, disseram os pesquisadores de segurança Lenart Bermejo, Sunny Lu e Ted Lee.
O uso de unidades removíveis pelo Mustang Panda como vetor de propagação do HIUPAN foi documentado anteriormente pela Development Micro em março de 2023. Ele é rastreado pela Mandiant, de propriedade do Google, como MISTCLOAK, que foi observado em conexão com uma campanha de espionagem cibernética direcionada às Filipinas, que pode ter começado em setembro de 2021.
O PUBLOAD é equipado com recursos para realizar o reconhecimento da rede infectada e coletar arquivos de interesse (.doc, .docx, .xls, .xlsx, .pdf, .ppt e .pptx), ao mesmo tempo em que serve como um canal para uma nova ferramenta de hacking chamada FDMTP, que é um “baixador de malware simples” implementado com base no TouchSocket sobre o Duplex Message Transport Protocol (DMTP).
As informações capturadas são compactadas em um arquivo RAR e exfiltradas para um website FTP controlado pelo invasor by way of cURL. Alternativamente, o Mustang Panda também foi observado implantando um programa personalizado chamado PTSOCKET que pode transferir arquivos no modo multithread.
Além disso, a Development Micro atribuiu o adversário a uma campanha de spear-phishing “de ritmo acelerado” que detectou em junho de 2024 como distribuidora de mensagens de e-mail contendo um anexo .url, que, quando lançado, é usado para entregar um downloader assinado chamado DOWNBAIT.
Acredita-se que a campanha tenha como alvo Mianmar, Filipinas, Vietnã, Cingapura, Camboja e Taiwan com base nos nomes dos arquivos e no conteúdo dos documentos falsos usados.
DOWNBAIT é uma ferramenta de carregamento de primeiro estágio usada para recuperar e executar o shellcode PULLBAIT na memória, que posteriormente baixa e executa o backdoor de primeiro estágio conhecido como CBROVER.
O implante, por sua vez, suporta recursos de obtain de arquivos e execução remota de shell, além de atuar como um veículo de entrega para o trojan de acesso remoto PlugX (RAT). O PlugX então cuida da implantação de outro coletor de arquivos personalizado chamado FILESAC que pode coletar os arquivos da vítima.
A divulgação ocorre no momento em que a Unidade 42 da Palo Alto Networks detalhou o abuso do recurso de shell reverso incorporado do Visible Studio Code pelo Mustang Panda para ganhar espaço nas redes-alvo, indicando que o agente da ameaça está ajustando ativamente seu modus operandi.
“A Earth Preta demonstrou avanços significativos em sua implantação e estratégias de malware, particularmente em suas campanhas visando entidades governamentais”, disseram os pesquisadores. “O grupo evoluiu suas táticas, (…) alavancando downloaders multiestágio (de DOWNBAIT a PlugX) e possivelmente explorando os serviços de nuvem da Microsoft para exfiltração de dados.”
