Un actor de amenaza vinculado a China conocido como Mustang Panda ha sido atribuido a una nueva campaña de espionaje cibernético dirigido contra la comunidad tibetana.
Los ataques de phishing de aguijada aprovecharon temas relacionados con el Tíbet, como la 9a Convención de Parlamentarios Mundiales sobre el Tíbet (WPCT), la política educativa de China en la Región Autónoma del Tíbet (TAR) y un tomo recientemente publicado por el 14º Dalai Légamo, según IBM X-Force.
La División de Ciberseguridad de la Compañía de Tecnología dijo que observó la campaña a principios de este mes, con los ataques que conducen al despliegue de un conocido malware Panda Mustang llamado Putoad. Está rastreando al actor de amenaza bajo el nombre Hive0154.
Las cadenas de ataque emplean señuelos con temática del Tíbet para distribuir un archivo taimado que contiene un archivo bondadoso de Microsoft Word, pegado con artículos reproducidos por sitios web tibetanos y fotos de WPCT, para cascar un ejecutable disfrazado de documento.
El ejecutable, como se observó en los ataques de panda Mustang anteriores, aprovecha la carga fronterizo de DLL para iniciar un cargador de reclamos DLL taimado DLL que luego se usa para implementar publicidad, un malware descargador responsable de contactar a un servidor remoto y obtener una carga útil de la próxima etapa dubshell.
PubShell es una “puerta trasera liviana que facilita el acercamiento inmediato a la máquina a través de una carcasa inversa”, dijeron los investigadores de seguridad Golo Mühr y Joshua Chung en un examen publicado esta semana.
En esta etapa, vale la pena mencionar algunas de las diferencias de nomenclatura: IBM ha cubo el nombre de señuelo de nombre al Stager personalizado documentado por primera vez por Cisco Talos en mayo de 2022 y publicado en el descargador de shellcode de primera etapa, mientras que Trend Micro identifica tanto el stager como el descargador como public. El equipo T5, de modo similar, rastrea los dos componentes colectivamente como nofive.
El progreso se produce semanas luego de la actividad de IBM, lo que dijo que es el trabajo de un subgrupo Hive0154 dirigido a los Estados Unidos, Filipinas, Pakistán y Taiwán desde finales de 2024 hasta principios de 2025.
Esta actividad, como en el caso de los que se dirigen al Tíbet, utiliza archivos armados originados de correos electrónicos de phishing para dirigir a entidades gubernamentales, militares y diplomáticas.
Las misivas digitales contienen enlaces a las URL de Google Drive que descargan los archivos de Zip o RAR atrapados en Booby al hacer clic, lo que finalmente resulta en la implementación de Toneshell en 2024 y Pload a partir de este año a través de señuelo.
Toneshell, otro malware de panda Mustang a menudo utilizado, funciona de modo similar a PubShell en el sentido de que además se usa para crear un shell inverso y ejecutar comandos en el host comprometido.
“La implementación de PubShell de The Reverse Shell a través de tuberías anónimas es casi idéntica a Toneshell”, dijeron los investigadores. “Sin requisa, en empleo de ejecutar un nuevo hilo para devolver inmediatamente cualquier resultado, PubShell requiere un comando adicional para devolver los resultados del comando. Además solo admite ejecutar ‘cmd.exe’ como un shell”.
“De varias maneras, Putoad y PubShell parecen ser una ‘interpretación lite’ desarrollada independientemente de Toneshell, con menos sofisticación y superposiciones de código claro”.
Los ataques dirigidos a Taiwán se han caracterizado por el uso de un rata USB llamado Hiupan (además conocido como MistCloak o U2DiskWatch), que luego se aprovecha para difundir el cargador de reclamos y informar a través de dispositivos USB.
“Hive0154 sigue siendo un actor de amenaza enormemente capaz con múltiples subcluscos activos y ciclos de progreso frecuentes”, dijeron los investigadores.
“Los grupos alineados por China como Hive0154 continuarán refinando su gran astillero de malware y mantendrán un enfoque en las organizaciones basadas en Asia Uruguayo en los sectores privados y públicos. Su amplia variedad de herramientas, ciclos de progreso frecuentes y distribución de malware de Worms USB los destaca como un actor de amenaza sofisticada”.
