Безобидный архив? А на деле — подслушка из Китая.

Ищете информацию о Далай-ламе? Получите шпионское ПО.

Китайская хакерская группировка Mustang Panda вновь атакует — на этот раз под прицелом тибетское сообщество. Специалисты IBM X-Force сообщили, что хакеры проводят шпионскую кампанию с использованием «приманок» на тему Тибета: конференции, книги, статьи и другие материалы.

Жертвам присылают архивы с заражёнными файлами, замаскированными под документы. При запуске запускается вредонос PUBLOAD, устанавливающий удалённый доступ к системе через компонент Pubshell — упрощённую версию TONESHELL.

Атака использует технику подмены DLL и проходит в несколько этапов: сначала запускается Claimloader, затем — PUBLOAD, после чего подключается Pubshell. Эти инструменты позволяют хакерам управлять заражённой машиной через стандартную командную строку.

Хотя названия компонентов варьируются у разных компаний (Trend Micro, TeamT5), суть атаки остаётся неизменной. Архив — ловушка, а цель — полный контроль над системой.

Кроме Тибета, Mustang Panda атакует структуры в США, Пакистане, на Тайване и Филиппинах. В некоторых случаях применяются USB-черви вроде HIUPAN, заражающие даже оффлайн-системы.

Эксперты отмечают: группировка постоянно обновляет свои инструменты и остаётся одной из самых активных угроз, связанных с Китаем.