Der in China ansässige Bedrohungsakteur, der als Mustang Panda bekannt ist, hat seine Taktiken und seine Malware verfeinert und umgerüstet, um Unternehmen in Asien, der Europäischen Union, Russland und den USA anzugreifen.
„Mustang Panda ist eine hochmotivierte APT-Gruppe, die vor allem auf aktuelle Köder und Social Engineering setzt, um ihre Opfer dazu zu bringen, sich selbst zu infizieren“, so Cisco Talos in einem neuen Bericht, der den sich entwickelnden Modus Operandi der Gruppe beschreibt.
Es ist bekannt, dass die Gruppe seit mindestens 2012 ein breites Spektrum von Organisationen ins Visier genommen hat, wobei sie sich vor allem auf Social Engineering per E-Mail stützt, um sich einen ersten Zugang zu verschaffen und PlugX, eine Backdoor, die vor allem für den langfristigen Zugang eingesetzt wird, abzusetzen.
Die Phishing-Nachrichten, die der Kampagne zugeschrieben werden, enthalten bösartige Köder, die sich als offizielle Berichte der Europäischen Union über den anhaltenden Konflikt in der Ukraine oder als Berichte der ukrainischen Regierung ausgeben und in beiden Fällen Malware auf die kompromittierten Rechner herunterladen.
Es wurden auch Phishing-Nachrichten beobachtet, die auf verschiedene Einrichtungen in den USA und mehreren asiatischen Ländern wie Myanmar, Hongkong, Japan und Taiwan zugeschnitten sind.
Die Ergebnisse folgen auf einen kürzlichen Bericht von Secureworks, wonach die Gruppe möglicherweise russische Regierungsbeamte ins Visier genommen hat, indem sie einen Köder mit PlugX benutzte, der sich als Bericht über die Grenzabfertigung in Blagoweschtschensk tarnte.
Ähnliche Angriffe, die Ende März 2022 entdeckt wurden, zeigen jedoch, dass die Akteure ihre Taktik aktualisieren, indem sie die Remote-URLs reduzieren, die verwendet werden, um verschiedene Komponenten der Infektionskette zu erhalten.
Abgesehen von PlugX hat die APT-Gruppe in ihren Infektionsketten auch benutzerdefinierte Stager, Reverse Shells, Meterpreter-basierten Shellcode und Cobalt Strike eingesetzt, um sich per Fernzugriff Zugang zu ihren Zielen zu verschaffen, um sie auszuspionieren und Informationen zu stehlen.
„Durch die Nutzung von Gipfeltreffen und Konferenzen in Asien und Europa versuchen die Angreifer, sich so lange wie möglich Zugang zu verschaffen, um Spionage und Informationsdiebstahl zu betreiben“, so die Talos-Forscher.