Vierme USB SnakeDisk
Actorul cibernetic Mustang Panda, aliat cu China, a implementat noi instrumente în campaniile sale de ciberspionaj. Cercetătorii au documentat recent utilizarea unui backdoor TONESHELL modernizat, alături de un vierme USB necunoscut anterior, numit SnakeDisk. Ambele adăugiri consolidează reputația grupului ca fiind unul dintre cei mai perseverenți adversari sponsorizați de stat.
Cuprins
Cine se află în spatele atacurilor?
Experții în securitate cibernetică monitorizează această activitate în cadrul clusterului Hive0154, un nume generic legat de Mustang Panda. Acest cluster este cunoscut și sub mai multe aliasuri, inclusiv BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus și Twill Typhoon.
Dovezile indică faptul că Mustang Panda este activă cel puțin din 2012, desfășurând operațiuni de spionaj în numele intereselor statului chinez.
SnakeDisk: Un vierme USB ascuns
SnakeDisk este un vierme recent identificat care se răspândește prin încărcarea laterală a DLL-urilor. Acesta aparține familiei de programe malware TONESHELL și prezintă suprapuneri clare cu un alt framework de viermi USB, TONEDISK (cunoscut și sub numele de WispRider).
Principalele sale capacități includ:
- Monitorizarea dispozitivelor USB conectate pentru oportunități de propagare.
- Mutarea fișierelor USB existente într-un subdirector ascuns, apoi înlocuirea lor cu un executabil malițios deghizat în numele volumului dispozitivului sau pur și simplu USB.exe.
- Restaurarea fișierelor originale odată ce malware-ul este declanșat pe un sistem nou, reducând suspiciunile.
O caracteristică remarcabilă este geofencing-ul său: SnakeDisk rulează doar pe dispozitive cu adrese IP din Thailanda, restrângând domeniul de aplicare al acestuia.
Yokai: Ușa din spate livrat de SnakeDisk
SnakeDisk acționează ca un mecanism de livrare pentru Yokai, un backdoor care configurează un shell invers pentru a executa comenzi arbitrare. Raportat pentru prima dată în decembrie 2024, Yokai a fost asociat cu campanii împotriva oficialilor thailandezi.
Malware-ul are asemănări tehnice cu alte familii de backdoor-uri atribuite lui Hive0154, inclusiv PUBLOAD/PUBSHELL și TONESHELL. Deși sunt tulpini separate, aceste familii utilizează structuri și tehnici comparabile pentru a comunica cu serverele de comandă și control (C2).
Concentrare strategică asupra Thailandei
Regulile de direcționare integrate în SnakeDisk și desfășurarea Yokai sugerează cu tărie că un subgrup Mustang Panda se concentrează puternic asupra Thailandei. Acest lucru indică o strategie rafinată și operațiuni adaptate în Asia de Sud-Est.
Un ecosistem vast și în continuă evoluție de malware
Hive0154 se remarcă prin capacitatea sa de a menține un ecosistem de programe malware extins și interconectat. Operațiunile sale demonstrează:
- Suprapuneri frecvente între codul malițios și tehnicile de atac.
- Experimentare continuă cu subclustere și programe malware specializate.
- Un ritm constant al ciclurilor de dezvoltare, evidențiind adaptabilitatea.
Arsenalul în continuă evoluție al lui Mustang Panda subliniază angajamentul pe termen lung al actorului amenințător de a-și dezvolta capacitățile de spionaj, consolidându-și în același timp concentrarea regională.
