Mustang Panda: Neue DOPLUGS Malware-Abwandlung sorgt für Aufsehen
Die China-verbundene Bedrohungsakteur-Gruppe Mustang Panda hat verschiedene asiatische Länder ins Visier genommen und dabei eine Variante des PlugX (auch bekannt als Korplug) Backdoors namens DOPLUGS verwendet. Laut Trend Micro Forschern Sunny Lu und Pierre Lee handelt es sich bei dieser speziellen Malware um einen Modifikation des PlugX Malware, die nur zum Herunterladen des eigentlichen Backdoor Command Moduls verwendet wird, und nicht wie üblich ein bereits voll funktionsfähiges Backdoor enthält.
DOPLUGS hat hauptsächlich Ziele in Taiwan, Vietnam, und in geringerem Maße auch in Hongkong, Indien, Japan, Malaysia, Mongolei und sogar China.
PlugX ist ein gängiges Werkzeug von Mustang Panda, das auch unter Namen wie BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 und TEMP.Hex bekannt ist. Die Gruppe ist seit mindestens 2012 aktiv, obwohl sie erstmals 2017 bekannt wurde.
Mustang Panda setzt auf gut gefälschte Spear-Phishing-Kampagnen, um maßgeschneiderte Malware einzusetzen. Seit 2018 setzt die Gruppe zudem eigene modifizierte PlugX-Varianten ein, darunter RedDelta, Thor, Hodur und DOPLUGS.
DOPLUGS ist ein Downloader mit vier Backdoor-Befehlen, von denen einer dazu dient, die allgemeine Art der PlugX-Malware herunterzuladen. Es wurden auch DOPLUGS-Proben entdeckt, die mit dem Modul KillSomeOne integriert sind, einem Plugin, das für die Malware-Verteilung, Informationsbeschaffung und Dokumentendiebstahl via USB-Laufwerke verantwortlich ist.
Im Dezember 2023 wurden die Forscher von Lab52 auf eine Mustang Panda-Kampagne aufmerksam, die taiwanesische politische, diplomatische und Regierungseinrichtungen mit DOPLUGS ins Visier genommen hat. Eine bemerkenswerte Änderung an dieser Variante war, dass das bösartige DLL in der Programmiersprache Nim geschrieben wurde und eine eigene Implementierung des RC4-Algorithmus zur Entschlüsselung von PlugX verwendet.
Die Gruppe Mustang Panda bleibt aktiv, insbesondere in Europa und Asien, und entwickelt kontinuierlich ihre Werkzeuge weiter, um neue Funktionalitäten hinzuzufügen.