L’acteur menaçant suivi comme Panda Mustang a affiné son arsenal de logiciels malveillants pour inclure de nouveaux outils afin de faciliter l’exfiltration de données et le déploiement de charges utiles de l’étape suivante, selon de nouvelles découvertes de Trend Micro.
La société de cybersécurité, qui surveille le cluster d’activité sous le nom d’Earth Preta, a déclaré avoir observé “la propagation de PUBLOAD via une variante du ver HIUPAN”.
PUBLOAD est un logiciel malveillant de téléchargement connu lié à Mustang Panda depuis début 2022, déployé dans le cadre de cyberattaques ciblant des entités gouvernementales de la région Asie-Pacifique (APAC) pour diffuser le logiciel malveillant PlugX.
“PUBLOAD a également été utilisé pour introduire des outils supplémentaires dans l’environnement des cibles, tels que FDMTP pour servir d’outil de contrôle secondaire, qui a été observé pour effectuer des tâches similaires à celles de PUBLOAD ; et PTSOCKET, un outil utilisé comme option alternative d’exfiltration, ” ont déclaré les chercheurs en sécurité Lenart Bermejo, Sunny Lu et Ted Lee.
L’utilisation par Mustang Panda de disques amovibles comme vecteur de propagation de HIUPAN a déjà été documentée par Trend Micro en mars 2023. Elle est suivie par Mandiant, propriété de Google, sous le nom de MISTCLOAK, qu’elle a observé dans le cadre d’une campagne de cyberespionnage ciblant les Philippines qui pourrait avoir commencé comme dès septembre 2021.
PUBLOAD est équipé de fonctionnalités permettant d’effectuer une reconnaissance du réseau infecté et de récolter les fichiers d’intérêt (.doc, .docx, .xls, .xlsx, .pdf, .ppt et .pptx), tout en servant également de canal pour un nouveau outil de piratage baptisé FDMTP, qui est un « simple téléchargeur de logiciels malveillants » implémenté sur la base de TouchSocket sur le protocole DMTP (Duplex Message Transport Protocol).
Les informations capturées sont compressées dans une archive RAR et exfiltrées vers un site FTP contrôlé par un attaquant via cURL. Alternativement, Mustang Panda a également été observé en train de déployer un programme personnalisé nommé PTSOCKET qui peut transférer des fichiers en mode multithread.
En outre, Trend Micro a attribué l’adversaire à une campagne de spear phishing « rapide » qu’il a détectée en juin 2024 comme distribuant des e-mails contenant une pièce jointe .url, qui, une fois lancée, est utilisée pour fournir un téléchargeur signé baptisé DOWNBAIT.
La campagne aurait ciblé le Myanmar, les Philippines, le Vietnam, Singapour, le Cambodge et Taiwan, sur la base des noms de fichiers et du contenu des documents leurres utilisés.
DOWNBAIT est un outil de chargement de premier étage utilisé pour récupérer et exécuter le shellcode PULLBAIT en mémoire, qui télécharge et exécute ensuite la porte dérobée de premier étage appelée CBROVER.
L’implant, pour sa part, prend en charge les capacités de téléchargement de fichiers et d’exécution de shell à distance, tout en agissant comme un véhicule de livraison pour le cheval de Troie d’accès à distance (RAT) PlugX. PlugX s’occupe ensuite de déployer un autre collecteur de fichiers sur mesure appelé FILESAC qui peut collecter les fichiers de la victime.
La divulgation intervient alors que l’unité 42 de Palo Alto Networks a détaillé l’abus par Mustang Panda de la fonctionnalité de shell inversé intégrée de Visual Studio Code pour prendre pied dans les réseaux cibles, indiquant que l’acteur menaçant est en train de peaufiner activement son mode opératoire.
“Earth Preta a montré des progrès significatifs dans son déploiement et ses stratégies de logiciels malveillants, en particulier dans ses campagnes ciblant les entités gouvernementales”, ont déclaré les chercheurs. “Le groupe a fait évoluer sa tactique, […] en tirant parti des téléchargeurs en plusieurs étapes (de DOWNBAIT à PlugX) et en exploitant éventuellement les services cloud de Microsoft pour l’exfiltration de données.