Un actor de amenaza vinculado a China conocido como Mustang Panda ha sido atribuido a una nueva campaña de espionaje cibernético dirigido contra la comunidad tibetana.
Los ataques de phishing de lanza aprovecharon temas relacionados con el Tíbet, como la 9a Convención de Parlamentarios Mundiales sobre el Tíbet (WPCT), la política educativa de China en la Región Autónoma del Tíbet (TAR) y un libro recientemente publicado por el 14º Dalai Lama, según IBM X-Force.
La División de Ciberseguridad de la Compañía de Tecnología dijo que observó la campaña a principios de este mes, con los ataques que conducen al despliegue de un conocido malware Panda Mustang llamado Putoad. Está rastreando al actor de amenaza bajo el nombre Hive0154.
Las cadenas de ataque emplean señuelos con temática del Tíbet para distribuir un archivo malicioso que contiene un archivo benigno de Microsoft Word, junto con artículos reproducidos por sitios web tibetanos y fotos de WPCT, para abrir un ejecutable disfrazado de documento.
El ejecutable, como se observó en los ataques de panda Mustang anteriores, aprovecha la carga lateral de DLL para iniciar un cargador de reclamos DLL malicioso DLL que luego se usa para implementar publicidad, un malware descargador responsable de contactar a un servidor remoto y obtener una carga útil de la próxima etapa dubshell.
PubShell es una «puerta trasera liviana que facilita el acceso inmediato a la máquina a través de una carcasa inversa», dijeron los investigadores de seguridad Golo Mühr y Joshua Chung en un análisis publicado esta semana.
En esta etapa, vale la pena mencionar algunas de las diferencias de nomenclatura: IBM ha dado el nombre de reclamo de nombre al Stager personalizado documentado por primera vez por Cisco Talos en mayo de 2022 y publicado en el descargador de shellcode de primera etapa, mientras que Trend Micro identifica tanto el stager como el descargador como public. El equipo T5, de manera similar, rastrea los dos componentes colectivamente como nofive.
El desarrollo se produce semanas después de la actividad de IBM, lo que dijo que es el trabajo de un subgrupo Hive0154 dirigido a los Estados Unidos, Filipinas, Pakistán y Taiwán desde finales de 2024 hasta principios de 2025.
Esta actividad, como en el caso de los que se dirigen al Tíbet, utiliza archivos armados originados de correos electrónicos de phishing para dirigir a entidades gubernamentales, militares y diplomáticas.
Las misivas digitales contienen enlaces a las URL de Google Drive que descargan los archivos de Zip o RAR atrapados en Booby al hacer clic, lo que finalmente resulta en la implementación de Toneshell en 2024 y Pload a partir de este año a través de reclamo.
Toneshell, otro malware de panda Mustang a menudo utilizado, funciona de manera similar a PubShell en el sentido de que también se usa para crear un shell inverso y ejecutar comandos en el host comprometido.
«La implementación de PubShell de The Reverse Shell a través de tuberías anónimas es casi idéntica a Toneshell», dijeron los investigadores. «Sin embargo, en lugar de ejecutar un nuevo hilo para devolver inmediatamente cualquier resultado, PubShell requiere un comando adicional para devolver los resultados del comando. También solo admite ejecutar ‘cmd.exe’ como un shell».
«De varias maneras, Publroad y PubShell parecen ser una ‘versión lite’ desarrollada de forma independiente de Toneshell, con menos sofisticación y superposiciones claras de código».
Los ataques dirigidos a Taiwán se han caracterizado por el uso de un gusano USB llamado Hiupan (también conocido como MistCloak o U2DiskWatch), que luego se aprovecha para difundir el cargador de reclamos y publicar a través de dispositivos USB.
«Hive0154 sigue siendo un actor de amenaza altamente capaz con múltiples subcluscos activos y ciclos de desarrollo frecuentes», dijeron los investigadores.
«Los grupos alineados por China como Hive0154 continuarán refinando su gran arsenal de malware y mantendrán un enfoque en las organizaciones basadas en Asia Oriental en los sectores privados y públicos. Su amplia variedad de herramientas, ciclos de desarrollo frecuentes y distribución de malware de Worms USB los destaca como un actor de amenaza sofisticada».