Mustang Panda снова в деле : китайская группировка модернизировала вредоносный софт

Не просто взлом, а искусство вторжения.

Китайская кибергруппировка Mustang Panda вновь привлекла внимание после атаки на организацию в Мьянме. В ходе операции был использован новый вредоносный инструментарий, ранее не встречавшийся исследователям. Это демонстрирует высокий уровень организации, сложность и скрытность их атак.

Центральную роль сыграла обновлённая версия бэкдора TONESHELL, использующая продвинутый протокол FakeTLS и новые методы идентификации жертв. Это позволяет лучше скрываться и надёжно закрепляться в сети.

Исследователи также обнаружили три варианта TONESHELL: от простой обратной оболочки до сложного загрузчика файлов с возможностью удалённого управления по собственному TCP-протоколу.

Для lateral movement применяется StarProxy — прокси-компонент, запускаемый через DLL Sideloading и использующий FakeTLS и XOR-шифрование. Он эффективен даже в изолированных от интернета сетях.

Также были зафиксированы два новых кейлоггера — PAKLOG и CorKLOG, последний шифрует логи и использует автозапуск. Данные передаются через внешние компоненты, что усложняет обнаружение.

Особое внимание вызывает SplatCloak — ядровый драйвер Windows, отключающий защиту Defender и антивирусов, устанавливаемый через SplatDropper.

Mustang Panda (также известная как BASIN, Camaro Dragon, Earth Preta) активна с 2012 года и традиционно работает против правительств, военных и НКО в Азии. Ранее группа активно использовала PlugX, но теперь перешла к более гибким и скрытным методам.

Разнообразие и обновляемость их арсенала подчёркивают высокий уровень подготовки и адаптивность этой кибершпионской группы.