0
0
Os pesquisadores da ESET analisaram o MQsTTang, um backdoor personalizado que eles atribuem ao grupo Mustang Panda APT alinhado à China. Esse backdoor faz parte de uma campanha em andamento que a ESET pode rastrear desde o início de janeiro de 2023.
Gráfico de execução mostrando os subprocessos e tarefas executadas
Os pesquisadores viram entidades desconhecidas na Bulgária e na Austrália em sua telemetria como alvos. Eles também têm informações indicando que o Mustang Panda tem como alvo uma instituição governamental em Taiwan. Devido à natureza dos nomes de arquivo falsos usados, os pesquisadores acreditam que organizações políticas e governamentais na Europa e na Ásia também estão sendo visadas. A campanha do Mustang Panda está em andamento no momento em que este livro foi escrito, e o grupo aumentou sua atividade na Europa desde que a Rússia invadiu a Ucrânia.
“Ao contrário da maioria dos malwares do grupo, o MQsTTang não parece ser baseado em famílias existentes ou projetos disponíveis publicamente”, diz o pesquisador da ESET Alexandre Côté Cyr , que descobriu a campanha em andamento.
“Este novo backdoor MQsTTang fornece uma espécie de shell remoto sem nenhum dos sinos e assobios associados às outras famílias de malware do grupo. No entanto, isso mostra que o Mustang Panda está explorando novas pilhas de tecnologia para suas ferramentas”, explica ele. “Resta saber se esse backdoor se tornará uma parte recorrente de seu arsenal, mas é mais um exemplo do rápido desenvolvimento e ciclo de implantação do grupo”, conclui Côté Cyr.
Com base em sua telemetria, os pesquisadores podem confirmar que entidades desconhecidas na Bulgária e na Austrália estão sendo visadas. Além disso, uma instituição governamental em Taiwan parece ser um alvo. A vitimologia não é clara, mas os nomes dos arquivos falsos fazem a ESET acreditar que organizações políticas e governamentais na Europa e na Ásia também estão sendo visadas. Isso também estaria de acordo com o direcionamento das últimas campanhas do grupo.
O MQsTTang é um backdoor básico que permite ao invasor executar comandos arbitrários na máquina da vítima e capturar a saída. O malware usa o protocolo MQTT para comunicação de comando e controle. O MQTT é normalmente usado para comunicação entre dispositivos IoT e controladores, e o protocolo não foi usado em muitas famílias de malware documentadas publicamente.
O MQsTTang é distribuído em arquivos RAR que contêm apenas um único executável. Esses executáveis geralmente têm nomes de arquivos relacionados à diplomacia e passaportes.
FONTE: HELPNET SECURITY