El equipo de investigación e inteligencia de amenazas de Blackberry ha llevado a cabo un exhaustivo seguimiento de Mustang Panda en los últimos meses, descubriendo algunos detalles interesantes sobre este colectivo de cibercriminales.
Según han encontrado los investigadores, este grupo de APT (amenazas persistentes avanzadas) se está sirviendo del conflicto entre Rusia y Ucrania para realizar ataques contra objetivos de países europeos y países asiáticos que estarían apoyando a Occidente en el conflicto.
Blackberry ha encontrado un archivo RAR llamado algo así como Orientación política para el nuevo enfoque de la UE hacia Rusia.rar que haría referencia a esta estrategia.
Parece que forma parte de una campaña más grande que este actor de amenazas está llevando a cabo contra múltiples entidades, tanto gubernamentales como privadas en varias industrias y muchos países del mundo.
Así ataca Mustang Panda
Mustang Panda, al que también se conoce como HoneyMyte, Bronze President o Red Delta lleva más de una década de vida en activo y está asociado a ciberdelincuentes chinos. Actualmente se trata de uno de los APT más activos que hay en el panorama de amenazas. Aunque perfecciona constantemente sus ataques, su denominador común es que aprovecha señuelos temáticos vinculados a eventos actuales.
En el pasado el grupo ha usado archivos RAR con denominaciones que hacen referencia a la política para que los objetivos piquen y abran el archivo. Un RAR es un archivo que contiene otros comprimidos, pudiendo albergar documentos, imágenes, vídeos, etc.
Cuando el susodicho archivo es abierto la víctima observará un directorio y un archivo de acceso directo que vuelve a usar la temática política como señuelo. El archivo .LNK de acceso directo trata de disfrazarse como un documento para que el usuario no sospeche y lo abra. Al hacerlo, se está ejecutando e iniciando la cadena de ataque.
La cadena de ataque de Mustang Panda depende de la técnica de carga lateral de DLL, utilizada anteriormente en su campaña dirigida a Myanmar , donde el actor de amenazas coloca un ejecutable legítimo y una carga útil uno al lado del otro, una técnica que está diseñada para aprovechar el orden de búsqueda de un programa tan pronto como se haya invocado la aplicación legítima. Una vez que se ejecuta el archivo de acceso directo, se iniciará la aplicación legítima y también se invocará el cargador de DLL malicioso.
Los investigadores de BlackBerry comentan que los objetivos del grupo son tan variados que hasta ahora no han podido identificar las industrias de todas las víctimas.
"Mustang Panda tiene un historial de apuntar a muchas entidades diferentes en todo el mundo, pero su objetivo se alinea con los intereses del gobierno chino. A partir de los señuelos asociados, los datos de NetFlow y otras características, la UE y APAC han sido sus principales objetivos últimamente", señala la empresa de la zarzamora.