Gli hacker Cinesi di Mustang Panda spiano l’Europa compresa l’Italia utilizzando soggetti ucraini

Il gruppo governativo cinese Mustang Panda (noto anche come Bronze President, Earth Preta, HoneyMyte e Red Lich) sta utilizzando esche legate all’Ucraina per spiare obiettivi in ​​Europa e nella regione Asia-Pacifico (APR).

Lo riferisce il BlackBerry Research and Intelligence Team, che ha analizzato un file RAR chiamato “Political guidance for a new EU approach to Russia.rar”. 

Alcuni dei paesi target includono Vietnam, India, Pakistan, Kenya, Turchia, Italia e Brasile.

L’archivio esca contiene un collegamento a un file Microsoft Word che utilizza la tecnica DLL Sideloading per eseguire il trojan PlugX RAT in memoria prima di visualizzare il documento.

Le catene di attacco alla fine installano 3 backdoor PUBLOAD precedentemente sconosciute, TONEINS e TONESHELL, che sono in grado di caricare il payload della fase successiva e passare inosservate. 

TONESHELL, la backdoor principale, viene installata tramite TONEINS ed è un loader di shellcode.

Gli attacchi di spear-phishing rilevati dal gruppo prendono di mira i settori del governo, dell’istruzione e della ricerca nella regione Asia-Pacifico.

L’analista di BlackBerry Dmitry Bestuzhev ha affermato che la catena di attacco Mustang Panda include ancora file rar, scorciatoie e downloader dannosi per la consegna dei payload, ma il processo di consegna stesso è solitamente personalizzato per ogni regione al fine di attirare la vittima ed eseguire degli spyware.

I criminali informatici aggiornano costantemente il loro toolkit di base con il malware esistente e sviluppano anche i propri strumenti per ogni nuova campagna. 

Questo è sinonimo che il gruppo è finanziariamente appoggiato e ha un alto livello di risorse, raffinatezza ed esperienza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research