O grupo Mustang Panda, também conhecido como TA416 e RedDelta, que segundo especialistas está baseado na China, parece ter reiniciado as operações de espionagem sobre redes de dados do Vaticano. O grupo havia feito uma campanha em julho deste ano, mas ela foi suspensa após a publicação de um relatório sobre o assunto, publicado pela empresa Recorded Future. Agora, o grupo volta com um arsenal atualizado de ferramentas de hacking segundo a empresa Proofpoint.
O grupo é conhecido por seus ataques a organizações que participam das relações entre o Vaticano e o Partido Comunista Chinês, e ataques contra organizações em Mianmar. A nova campanha de malware parece ser uma continuação dessa atividade, dizem os especialistas da Proofpoint.
As alterações no arsenal dos criminosos incluem o uso de uma nova versão do downloader do cavalo de Troia de acesso remoto PlugX, escrito na linguagem Golang.
Veja isso
Hackers da Rússia, China e Irã tentam interferir nas eleições dos EUA
EUA acusam hackers chineses de roubar dados sobre vacina da covid-19
Os invasores usam iscas de phishing para atingir pessoas que trabalham no relacionamento entre o Vaticano e o Partido Comunista Chinês: eles enviam e-mails falsos em nome de jornalistas da União de Notícias Católica da Ásia. Como parte dos ataques, os hackers usaram arquivos RAR como downloaders de PlugX, mas o vetor de entrega desses arquivos ainda não foi determinado. No entanto, o grupo é conhecido por usar URLs do Google Drive e do Dropbox nos seus e-mails de phishing.
Os arquivos RAR usados na campanha incluem uma carga (payload) PlugX criptografada, um executável Adobe sideload legítimo e um binário Golang para descriptografia e download de mais outras peças de malware.
De acordo com a Proofpoint, esta foi a primeira vez que os invasores usaram um binário Golang em seus ataques. Embora tenha um novo tipo de arquivo, o loader PlugX não mudou sua funcionalidade – ele executa o PlugX e também garante sua persistência no sistema. O endereço IP do servidor C&C foi hospedado pelo provedor de serviços de Internet chinês Anchnet Asia Limited e esteve em uso de pelo menos entre 24 de agosto e 28 de setembro de 2020. Como o endereço IP não está mais em uso, presume-se que os invasores estejam trabalhando para mudar sua infraestrutura.
Com agências internacionais