El actor de amenaza en línea en China conocido como Mustang panda se ha observado utilizando una interpretación actualizada de una puerta trasera emplazamiento Toneshell y un oruga USB previamente indocumentado llamado SnakedIsk.
“El oruga solo se ejecuta en dispositivos con direcciones IP con sede en Tailandia y deja caer la puerta trasera de Yokai”, dijeron los investigadores de IBM X-Force Golo Mühr y Joshua Chung en un observación publicado la semana pasada.
La división de ciberseguridad del hércules tecnológico está rastreando el clúster bajo el nombre Hive0154, que igualmente se conoce ampliamente como cuenca, presidente de bronce, dragón Camaro, Earth Preta, Honeymyte, Polaris, Reddelta, Taurus majestuoso y Typhoon Twill. Se cree que el actor de amenaza patrocinado por el estado ha estado activo desde al menos 2012.
Toneshell fue documentada públicamente por Trend Micro en noviembre de 2022 como parte de los ataques cibernéticos dirigidos a Myanmar, Australia, Filipinas, Japón y Taiwán entre mayo y octubre. Por lo genérico, se ejecuta a través de la carga vecino de DLL, su responsabilidad principal es descargar cargas bártulos de próxima etapa en el host infectado.
Las cadenas de ataque típicas implican el uso de correos electrónicos de phishing de aguijada para difundir familias de malware como Putoad o Toneshell. Podoad, que igualmente funciona de forma similar a Toneshell, igualmente es capaz de descargar cargas bártulos de shellcode a través de solicitudes de publicación HTTP desde un servidor de comando y control (C2).
Las variantes Toneshell recientemente identificadas, llamadas Toneshell8 y Toneshell9 por IBM X-Force, admiten la comunicación C2 a través de servidores proxy configurados localmente para combinar con el tráfico de red empresarial y proveer dos capas inversas activas en paralelo. Además incorpora código de basura copiado del sitio web ChatGPT de OpenAI en el interior de las funciones del malware para eludir la detección estática y el observación de resistor.
Además se lanzó con la carga vecino de DLL un nuevo oruga USB llamado Snakedisk que comparte superposiciones con Tonedisk (igualmente conocido como Wisprider), otro situación de oruga USB bajo la clan Toneshell. Se utiliza principalmente para detectar dispositivos USB nuevos y existentes conectados al host, utilizándolo como un medio de propagación.
Específicamente, mueve los archivos existentes en el USB a un nuevo subdirectorio, engañando efectivamente a la víctima para que haga clic en la carga útil maliciosa en una nueva máquina configurando su nombre en el nombre de convexidad del dispositivo USB, o “USB.EXE”. Una vez que se inicia el malware, los archivos se copian de nuevo a su ubicación diferente.
Un aspecto trascendente del malware es que está geofencionado para ejecutar solo en direcciones IP públicas geolocadas a Tailandia. Snakedisk igualmente sirve como un conducto para soltar Yokai, una puerta trasera que configura un shell inverso para ejecutar comandos arbitrarios. Anteriormente fue detallado por Netskope en diciembre de 2024 en intrusiones dirigidas a funcionarios tailandeses.
“Yokai muestra superposiciones con otras familias de puerta trasera atribuidas a Hive0154, como Putoad/PubShell y Toneshell”, dijo IBM. “Aunque esas familias son piezas de malware claramente separadas, siguen aproximadamente la misma estructura y usan técnicas similares para establecer un shell inverso con su servidor C2”.
El uso de Snakedisk y Yokai probablemente apunta a un subgrupo en el interior de Mustang Panda que está hiperfociado en Tailandia, al tiempo que subraya la proceso continua y el refinamiento del cantera del actor de amenaza.
“Hive0154 sigue siendo un actor de amenaza mucho capaz con múltiples subclusters activos y ciclos de mejora frecuentes”, concluyó la compañía. “Este rama parece ayudar un ecosistema de malware considerablemente excelso con superposiciones frecuentes tanto en código desconfiado, técnicas utilizadas durante los ataques, así como la orientación”.
