L’APT cinese Mustang Panda (noto anche come Temp.Hex, HoneyMyte, TA416 o RedDelta) ha aggiornato le sue campagne di spionaggio contro missioni diplomatiche, strutture di ricerca e provider di servizi Internet (ISP) principalmente nell’area del sud-est asiatico ma anche in Europa.
Con la sigla APT (Advanced Persistent Threat, ossia minaccia avanzata e persistente), si indicano cyber criminali con elevate competenze tecniche e grandi risorse umane e finanziarie, in grado di effettuare attacchi su larga scala e per periodi di tempo prolungati.
Tra le nuove strategie di Mustang Panda, come riporta Threatpost, c’è una nuova variante customizzata di un vecchio ma efficace RAT (Remote Access Trojan o trojan ad accesso remoto) di nome PlugX (noto anche come Korplug), individuata in una ricerca di ESET. Hanno chiamato la variante Hodur dal nome di una figura mitologica norrena nota per aver ucciso il fratello, il dio Baldr, ritenuto invulnerabile.
Mustang Panda ha inoltre sviluppato una serie di Tattiche, Tecniche e Procedure (TTP) per massimizzare l’efficacia dei suoi attacchi, implementando in ogni fase del deployment tecniche anti-analisi.
La campagna di cyber spionaggio è attiva almeno da agosto ed è ancora in corso. È focalizzata sull’Asia orientale e sudorientale ma ci sono eccezioni in Europa (Grecia, Cipro, Russia) e in Africa (Sudafrica, Sudan).
L’attacco inizia con email di social engineering, con documenti esca aggiornati e legati a eventi in Europa come la guerra in Ucraina, restrizioni sui viaggi per il COVID o regolamenti legislativi.
Prosegue con l’installazione di Hodur, che permette ai pirati di rubare dati o prendere il controllo delle macchine infettate, copiando, rinominando, spostando ed eseguendo file e svolgendo molte altre attività malevole.
Gli analisti seguono l’attività di cyber spionaggio di Mustang Panda dal 2017 e ritengono che possa essere legato al governo Cinese.
