Se ha descubierto que el actor de amenazas patrocinado por el estado chino Mustang Panda (también conocido como LuminousMoth, Camaro Dragon, HoneyMyte y más) está lanzando Programa malicioso campañas contra objetivos de alto valor, incluidas agencias gubernamentales en Asia.
El grupo utilizó una variante del gusano HIUPAN para distribuir el malware PUBLOAD en las redes de sus objetivos a través de unidades extraíbles. El gusano HIUPAN trasladó todos sus archivos a un directorio oculto para ocultar su presencia y dejó visible sólo un archivo aparentemente legítimo (“USBConfig.exe”) para engañar al usuario.
La herramienta PUBLOAD se utilizó como control principal de la campaña para extraer datos y enviarlos al servidor remoto del actor de la amenaza. PTSOCKET se utilizó a menudo como herramienta alternativa de extracción de datos.
Una historia familiar
Un Investigación de TrendMicro describe el avance en la implementación de malware de Mustang Panda, especialmente en el uso contra agencias militares, gubernamentales y educativas en la región APAC.
Esto supone un cambio con respecto a los informes recientes que la organización había recibido. utilizando variantes de WispRider para ejecutar técnicas similares de carga lateral de DLL a través de unidades USB. Se dice que la campaña anterior infectó dispositivos de todo el mundo, incluidos los del Reino Unido, Rusia y la India.
El grupo también estuvo vinculado a una campaña de phishing en junio de este año, lo que demuestra sus capacidades para explotar MicrosoftLos servicios en la nube de y el aprovechamiento de descargadores de múltiples etapas. El grupo sigue muy activo en el panorama cibernético y parece que seguirá haciéndolo en el futuro previsible.
Este es uno de los muchos ataques sospechosos patrocinados por el Estado chino en los últimos tiempos, con campañas contra una variedad de objetivosincluidos dispositivos del gobierno ruso comprometidos por ataques de phishing.
A través de Computadora que emite pitidos
