Die in China ansässige Bedrohungsakteurin Mustang Panda steht im Verdacht, das Verteidigungs- und Außenministerium von Myanmar als Teil von zwei Kampagnen angegriffen zu haben, bei denen Backdoors und Remote-Zugriffs-Trojaner eingesetzt wurden. Die Aktivitäten fanden im November 2023 und Januar 2024 statt, nachdem Artefakte im Zusammenhang mit den Angriffen auf die VirusTotal-Plattform hochgeladen wurden. CSIRT-CTI stellte fest, dass die TTPs (Tactics, Techniques and Procedures) unter anderem die Verwendung legitimer Software und eines Binärs von der Engineering-Firma Bernecker & Rainer (B&R) sowie einer Komponente des Windows 10 Upgrade-Assistenten umfassen, um schädliche DLLs (Dynamic-Link Libraries) zu laden. Mustang Panda ist seit mindestens 2012 aktiv und wird auch unter den Namen BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus und TEMP.Hex von der Cybersicherheitsgemeinschaft anerkannt.
In den letzten Monaten wurden dem Gegner Angriffe auf eine nicht genannte südostasiatische Regierung sowie auf die Philippinen zugeschrieben, um Backdoors einzusetzen, die in der Lage sind, sensible Informationen zu sammeln. Der Infektionsverlauf im November 2023 beginnt mit einer Phishing-E-Mail mit einem präparierten ZIP-Anhang, der eine legitime ausführbare Datei („Analyse des dritten Treffens von NDSC.exe“) enthält, die ursprünglich von B&R Industrial Automation GmbH signiert wurde, sowie eine DLL-Datei („BrMod104.dll“). Der Angriff nutzt aus, dass das Binär anfällig für DLL-Suche-Reihenfolge-Hijacking ist, um die schädliche DLL zu laden und anschließend Beharrlichkeit herzustellen, Kontakt zu einem Command-and-Control (C2)-Server aufzunehmen und einen bekannten Backdoor namens PUBLOAD abzurufen, der wiederum als individueller Loader fungiert, um das PlugX-Implantat abzulegen.
„Laut CSIRT-CTI versuchen die Angreifer, den C2-Traffic als Microsoft-Update-Traffic zu tarnen, indem sie die Header ‚Host: www.asia.microsoft.com‘ und ‚User-Agent: Windows-Update-Agent‘ hinzufügen“, ähnlich wie bei einer im Mai 2023 von Lab52 veröffentlichten Kampagne. Die zweite Kampagne, die diesen Monat beobachtet wurde, verwendet eine optische Disk-Abbildung („ASEAN Notes.iso“) mit LNK-Verknüpfungen, um einen mehrstufigen Prozess auszulösen, der einen anderen Custom-Loader mit dem Namen TONESHELL verwendet, um wahrscheinlich PlugX von einem nicht mehr zugänglichen C2-Server zu installieren.
Es ist erwähnenswert, dass eine ähnliche Angriffskette, die Mustang Panda zugeschrieben wird, bereits im Februar 2023 von EclecticIQ entdeckt wurde und auf Regierungs- und öffentliche Organisationen in Asien und Europa abzielte. „Nach den Rebellenangriffen im Norden von Myanmar [im Oktober 2023] hat China seine Besorgnis darüber geäußert, wie sich dies auf Handelsrouten und die Sicherheit an der Myanmar-China-Grenze auswirkt“, so CSIRT-CTI. „Die Operationen von Stately Taurus sind bekannt dafür, dass sie mit den geopolitischen Interessen der chinesischen Regierung übereinstimmen, einschließlich mehrerer Cyber-Spionage-Operationen gegen Myanmar in der Vergangenheit.“