Worm USB SnakeDisk
O grupo de ameaças alinhado à China, conhecido como Mustang Panda, implementou novas ferramentas em suas campanhas de espionagem cibernética. Pesquisadores documentaram recentemente o uso de um backdoor TONESHELL atualizado, juntamente com um worm USB até então desconhecido, denominado SnakeDisk. Ambas as adições reforçam a reputação do grupo como um dos adversários mais persistentes patrocinados por Estados.
Índice
Quem está por trás dos ataques?
Especialistas em segurança cibernética estão monitorando essa atividade no cluster Hive0154, um nome genérico associado ao Mustang Panda. Este cluster também é conhecido por vários pseudônimos, incluindo BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus e Twill Typhoon.
Evidências indicam que o Mustang Panda está ativo desde pelo menos 2012, realizando operações focadas em espionagem em nome dos interesses do Estado chinês.
SnakeDisk: Um worm USB furtivo
SnakeDisk é um worm recém-identificado que se espalha por meio de carregamento lateral de DLLs. Pertence à família de malware TONESHELL e apresenta claras sobreposições com outra estrutura de worm USB, o TONEDISK (também conhecido como WispRider).
Suas principais capacidades incluem:
- Monitoramento de dispositivos USB conectados para oportunidades de propagação.
- Mover arquivos USB existentes para um subdiretório oculto e, em seguida, substituí-los por um executável malicioso disfarçado como o nome do volume do dispositivo ou simplesmente USB.exe.
- Restaurar os arquivos originais quando o malware é acionado em um novo sistema, reduzindo suspeitas.
Um recurso impressionante é seu geofencing: o SnakeDisk só é executado em dispositivos com endereços IP baseados na Tailândia, estreitando seu escopo de segmentação.
Yokai: The Backdoor entregue pela SnakeDisk
O SnakeDisk atua como um mecanismo de entrega para o Yokai, um backdoor que configura um shell reverso para executar comandos arbitrários. Reportado pela primeira vez em dezembro de 2024, o Yokai estava vinculado a campanhas contra autoridades tailandesas.
O malware compartilha semelhanças técnicas com outras famílias de backdoors atribuídas ao Hive0154, incluindo PUBLOAD/PUBSHELL e TONESHELL. Embora sejam cepas distintas, essas famílias utilizam estruturas e técnicas semelhantes para se comunicar com servidores de comando e controle (C2).
Foco estratégico na Tailândia
As regras de segmentação incorporadas ao SnakeDisk e a implantação do Yokai sugerem fortemente que um subgrupo do Mustang Panda está se concentrando fortemente na Tailândia. Isso aponta para uma estratégia refinada e operações personalizadas no Sudeste Asiático.
Um vasto e crescente ecossistema de malware
O Hive0154 se destaca por sua capacidade de manter um amplo ecossistema de malware interconectado. Suas operações demonstram:
- Sobreposições frequentes em código malicioso e técnicas de ataque.
- Experimentação contínua com subclusters e malware especializado.
- Um ritmo consistente de ciclos de desenvolvimento, destacando a adaptabilidade.
O arsenal em evolução do Mustang Panda ressalta o comprometimento de longo prazo do agente da ameaça em aprimorar suas capacidades de espionagem e, ao mesmo tempo, aprimorar seu foco regional.
