El actor de amenaza vinculado a China conocido como Mustang Panda se ha atribuido a un ataque cibernético dirigido a una organización no especificada en Myanmar con herramientas previamente no reportadas, destacando el esfuerzo continuo de los actores de amenaza para aumentar la sofisticación y la efectividad de su malware.
Esto incluye versiones actualizadas de una puerta trasera conocida llamada Tonoasí como una nueva herramienta de movimiento lateral denominado StarProxy, dos Keyloggers con nombre en código Paklog, Corklog y un controlador de evasión de detección y respuesta de punto final (EDR) conocido como Splatcloak.
«Toneshell, una puerta trasera utilizada por Mustang Panda, se ha actualizado con cambios en su protocolo de comunicación de comando y control de Faketls (C2), así como a los métodos para crear y almacenar identificadores de clientes», dijo el investigador de Zscaler Amenazlabz Sudeep Singh en un análisis de dos partes.
Mustang Panda, también conocido como Basin, Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte y Reddelta, es un actor de amenaza patrocinado por el estado de China activo desde al menos 2012.
Conocidas por sus ataques contra gobiernos, entidades militares, grupos minoritarios y organizaciones no gubernamentales (ONG) principalmente en países ubicados en el este de Asia, y en menor medida en Europa, el grupo tiene un historial de aprovechamiento de técnicas de carga lateral de DLL para entregar el malware TIGNX.
Sin embargo, desde finales de 2022, las campañas orquestadas por Mustang Panda han comenzado a entregar con frecuencia una familia de malware a medida llamada Toneshell, que está diseñada para descargar cargas útiles de la próxima etapa.
ZScaler dijo que descubrió tres nuevas variantes del malware que vienen con diferentes niveles de sofisticación –
- Variante 1que actúa como una simple carcasa inversa
- Variante 2que incluye la funcionalidad para descargar DLL del C2 y ejecutarlos inyectando la DLL en procesos legítimos (por ejemplo, svchost.exe)
- Variante 3que incluye la funcionalidad para descargar archivos y crear un subproceso para ejecutar comandos recibidos de un servidor remoto a través de un protocolo basado en TCP personalizado
Una nueva pieza de software asociada con Mustang Panda es StarProxy, que se lanza a través de la carga lateral de DLL y está diseñado para aprovechar el protocolo Faketls para proxy del tráfico y facilitar las comunicaciones de los atacantes.
«Una vez activo, StarProxy permite a los atacantes proxy tráfico entre dispositivos infectados y sus servidores C2. StarProxy logra esto utilizando los sockets TCP para comunicarse con el servidor C2 a través del protocolo Faketls, cifrando todos los datos intercambiados con un algoritmo de encriptación basado en XOR personalizado», dijo Singh.
«Además, la herramienta utiliza argumentos de línea de comandos para especificar la dirección IP y el puerto para la comunicación, lo que permite a los atacantes transmitir datos a través de máquinas comprometidas».
 |
| Actividad de StarProxy |
Se cree que Starproxy se implementa como una herramienta posterior a la compromiso para acceder a estaciones de trabajo internas dentro de una red que no está directamente expuesta a Internet.
También se identifican dos nuevos Keyloggers, Paklog y Corklog, que se utilizan para monitorear las teclas y los datos del portapapeles. La principal diferencia entre los dos es que este último almacena los datos capturados en un archivo encriptado utilizando una clave RC4 de 48 caracteres e implementa mecanismos de persistencia mediante la creación de servicios o tareas programadas.
Ambos keyloggers carecen de capacidades de exfiltración de datos propias, lo que significa que existen únicamente para recopilar los datos de la pulsación de tecla y escribirlos en una ubicación específica y que el actor de amenaza usa otros métodos para transmitirlos a su infraestructura.
Aproveche las nuevas incorporaciones al arsenal de malware del panda Mustang es Splatcloak, un controlador de núcleo de Windows desplegado por Splatdropper que está equipado para deshabilitar las rutinas relacionadas con EDR implementadas por Windows Defender y Kaspersky, lo que permite volar bajo el radar.
«Mustang Panda demuestra un enfoque calculado para lograr sus objetivos», dijo Singh. «Las actualizaciones continuas, las nuevas herramientas y la ofuscación en capas prolongan la seguridad operativa del grupo y mejora la eficacia de los ataques».
UNC5221 deja caer nuevas versiones de BrickStorm dirigida a Windows
La divulgación se produce cuando el clúster de espionaje cibernético de China-Nexus llamado UNC5221 se ha conectado al uso de una nueva versión del malware de tormenta de ladrillos en ataques dirigidos a entornos de Windows en Europa desde al menos 2022, según la firma belga de ciberseguridad NVISO.
Brickstorm, primero documentado el año pasado en relación con la explotación del día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887) contra la corporación MITER, es una puerta trasera Golang desplegada en servidores de Linux que ejecuta VMware vMware.
«Admite la capacidad de configurarlo como un servidor web, realizar una manipulación del sistema de archivos y directorio, realizar operaciones de archivos como cargar/descargar, ejecutar comandos de shell y realizar calcetines de retransmisión», dijo Google Mandiant en abril de 2024. «Brickstorm se comunica sobre las websockets a un C2 con codificación dura».
Los artefactos de Windows recientemente identificados, también escritos en GO, proporcionan a los atacantes el administrador de archivos y las capacidades de túnel de red a través de un panel, lo que les permite explorar el sistema de archivos, crear o eliminar archivos, y conexiones de red de túnel para el movimiento lateral.
También resuelven los servidores C2 a través de DNS-Over-HTTPS (DOH), y están diseñados para evadir las defensas a nivel de red como el monitoreo de DNS, la inspección de TLS y el bloqueo geográfico.
«Las muestras de Windows (..) no están equipadas con capacidades de ejecución de comandos», dijo Nviso. «En cambio, se han observado adversarios utilizando capacidades de túnel de red en combinación con credenciales válidas para abusar de protocolos bien conocidos como RDP o SMB, lo que alcanza una ejecución de comandos similar».