Cuc USB SnakeDisk
L'actor informàtic Mustang Panda, alineat amb la Xina, ha implementat noves eines en les seves campanyes de ciberespionatge. Recentment, els investigadors han documentat l'ús d'una porta del darrere TONESHELL actualitzada juntament amb un cuc USB desconegut anomenat SnakeDisk. Ambdues incorporacions reforcen la reputació del grup com un dels adversaris més persistents patrocinats per l'estat.
Taula de continguts
Qui hi ha darrere dels atacs?
Experts en ciberseguretat estan monitoritzant aquesta activitat sota el clúster Hive0154, un nom genèric vinculat a Mustang Panda. Aquest clúster també és conegut per diversos àlies, com ara BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus i Twill Typhoon.
Les proves indiquen que el Mustang Panda ha estat actiu des d'almenys el 2012, duent a terme operacions centrades en l'espionatge en nom dels interessos de l'estat xinès.
SnakeDisk: Un cuc USB furtiu
SnakeDisk és un cuc recentment identificat que es propaga a través de la càrrega lateral de DLL. Pertany a la família de programari maliciós TONESHELL i mostra coincidències clares amb un altre marc de treball de cucs USB, TONEDISK (també conegut com WispRider).
Les seves principals capacitats inclouen:
- Monitorització dels dispositius USB connectats per detectar oportunitats de propagació.
- Moure els fitxers USB existents a un subdirectori ocult i després substituir-los per un executable maliciós disfressat del nom del volum del dispositiu o simplement USB.exe.
- Restaurar els fitxers originals un cop s'activa el programari maliciós en un sistema nou, reduint les sospites.
Una característica destacable és la seva geofencing: SnakeDisk només s'executa en dispositius amb adreces IP amb seu a Tailàndia, cosa que redueix el seu abast de segmentació.
Yokai: La porta del darrere lliurada per SnakeDisk
SnakeDisk actua com a mecanisme de lliurament per a Yokai, una porta del darrere que configura una shell inversa per executar ordres arbitràries. Informat per primera vegada el desembre de 2024, Yokai estava vinculat a campanyes contra funcionaris tailandesos.
El programari maliciós comparteix similituds tècniques amb altres famílies de backdoors atribuïdes a Hive0154, com ara PUBLOAD/PUBSHELL i TONESHELL. Tot i que són soques separades, aquestes famílies utilitzen estructures i tècniques comparables per comunicar-se amb els servidors de comandament i control (C2).
Enfocament estratègic a Tailàndia
Les regles de focalització integrades a SnakeDisk i el desplegament de Yokai suggereixen fermament que un subgrup de Mustang Panda s'està concentrant en gran mesura a Tailàndia. Això apunta a una estratègia refinada i operacions a mida al sud-est asiàtic.
Un ecosistema de programari maliciós vast i en evolució
Hive0154 destaca per la seva capacitat de mantenir un gran ecosistema de programari maliciós interconnectat. Les seves operacions demostren:
- Superposicions freqüents en codi maliciós i tècniques d'atac.
- Experimentació contínua amb subclústers i programari maliciós especialitzat.
- Un ritme constant dels cicles de desenvolupament, destacant l'adaptabilitat.
L'arsenal en constant evolució del Mustang Panda subratlla el compromís a llarg termini de l'actor cibernètic per millorar les seves capacitats d'espionatge alhora que afina el seu enfocament regional.
