Ein in China ansässiger Advanced Persistent Threat (APT) mit dem Namen Mustang Panda wurde mit einer laufenden Cyberspionagekampagne in Verbindung gebracht, bei der eine bisher nicht dokumentierte Variante des PlugX-Fernzugriffstrojaners auf infizierten Rechnern eingesetzt wurde.
Das slowakische Cybersicherheitsunternehmen ESET nannte die neue Version Hodur, da sie einer anderen PlugX-Variante (auch bekannt als Korplug) namens THOR ähnelt, die im Juli 2021 bekannt wurde.
„Die meisten Opfer befinden sich in Ost- und Südostasien, einige wenige jedoch in Europa (Griechenland, Zypern, Russland) und Afrika (Südafrika, Südsudan)“, so der ESET-Malware-Forscher Alexandre Côté Cyr in einem Bericht an The Hacker News.
„Zu den bekannten Opfern gehören Forschungseinrichtungen, Internet Service Provider (ISPs) und europäische diplomatische Vertretungen, die sich hauptsächlich in Ost- und Südostasien befinden.
Mustang Panda, auch bekannt als TA416, HoneyMyte, RedDelta oder PKPLUG, ist eine Cyberspionagegruppe, die vor allem dafür bekannt ist, Nichtregierungsorganisationen ins Visier zu nehmen, wobei der Schwerpunkt auf der Mongolei liegt.
Die jüngste Kampagne, die mindestens bis August 2021 zurückreicht, nutzt eine Kompromittierungskette mit einem sich ständig verändernden Stapel von Täuschungsdokumenten, die sich auf die aktuellen Ereignisse in Europa und den Krieg in der Ukraine beziehen.
„Andere Phishing-Köder erwähnen aktualisierte COVID-19 Reisebeschränkungen, eine genehmigte regionale Hilfskarte für Griechenland und eine Verordnung des Europäischen Parlaments und des Rates“, so ESET. „Der letzte Köder ist ein echtes Dokument, das auf der Website des Europäischen Rates verfügbar ist. Das zeigt, dass die APT-Gruppe, die hinter dieser Kampagne steckt, das aktuelle Geschehen verfolgt und in der Lage ist, erfolgreich und schnell darauf zu reagieren.“
Unabhängig vom verwendeten Phishing-Köder gipfeln die Infektionen in der Bereitstellung der Hodur-Backdoor auf dem angegriffenen Windows-Host.
„Die in dieser Kampagne verwendete Variante weist viele Ähnlichkeiten mit der THOR-Variante auf, weshalb wir sie Hodur genannt haben“, erklärt er. „Zu den Ähnlichkeiten gehören die Verwendung des Registrierungsschlüssels Software\CLASSES\ms-pu, das gleiche Format für [Command-and-Control]-Server in der Konfiguration und die Verwendung der Fensterklasse Static.“
Hodur ist seinerseits in der Lage, eine Vielzahl von Befehlen zu verarbeiten. So kann das Implantat umfangreiche Systeminformationen sammeln, beliebige Dateien lesen und schreiben, Befehle ausführen und eine entfernte cmd.exe-Sitzung starten.
Die Erkenntnisse von ESET decken sich mit den öffentlichen Enthüllungen der Threat Analysis Group (TAG) von Google und Proofpoint, die beide Anfang des Monats eine Mustang-Panda-Kampagne zur Verbreitung einer aktualisierten PlugX-Variante beschrieben.
„Die in dieser Kampagne verwendeten Köder zeigen einmal mehr, wie schnell Mustang Panda auf das Weltgeschehen reagieren kann“, so Côté Cyr. „Diese Gruppe zeigt auch, dass sie in der Lage ist, ihre Werkzeuge iterativ zu verbessern, einschließlich der für sie typischen Verwendung von Dreizack-Downloadern zur Verbreitung von Korplug.