Grupo usa backdoor personalizada para escapar de detecção

Da Redação
02/03/2023

O grupo hacker chinês de espionagem cibernética Mustang Panda foi detectado implantando uma nova backdoor personalizada chamada MQsTTang em ataques a partir deste ano. O Mustang Panda é um grupo de ameaças persistentes avançadas (APT) conhecido por ataques a organizações em todo o mundo para roubar dados usando versões personalizadas do malware PlugX. O grupo também é conhecido como TA416 e Bronze President.

A backdoor MQsTTang do Mustang Panda não parece ser uma variante de malware anterior, indicando que os hackers provavelmente a desenvolveram para evitar a detecção e dificultar a atribuição.

Pesquisadores da ESET descobriram o MQsTTang em uma campanha que começou em janeiro e ainda está em andamento. A campanha tem como alvo organizações governamentais e políticas na Europa e na Ásia, com foco em Taiwan e na Ucrânia.

Veja isso
Hackers chineses atacaram órgãos do governo iraniano por meses
Ransomware, APTs e Log4j lideram ranking de ameaças

A distribuição do malware ocorre por meio de e-mails de spear phishing, enquanto os payloads são baixados de repositórios GitHub criados por um usuário associado a campanhas anteriores do Mustang Panda.

O malware é um executável compactado dentro de arquivos RAR, nomes próprios com tema diplomático, como digitalizações de passaportes de membros de missões diplomáticas, notas de embaixadas, etc.

A ESET caracteriza o MQsTTang como um backdoor “barebones” que permite que o operador da ameaça execute comandos remotamente na máquina da vítima e receba sua saída. “Esta nova backdoor fornece uma espécie de shell remoto sem nenhum dos sinos e assobios associados às outras famílias de malware do grupo”, diz o relatório da ESET.

Compartilhar: