Redazione RHC : 2 Maggio 2025 08:14
Il gruppo Mustang Panda, legato alla Cina, è tornato sotto i riflettori dopo aver preso di mira un’organizzazione in Myanmar. L’operazione ha comportato l’impiego di una nuova ondata di strumenti dannosi che non erano stati precedentemente osservati dai ricercatori. Questo caso evidenzia quanto il gruppo adotti misure sistematiche e mirate per aumentare la sofisticatezza e la segretezza dei propri attacchi informatici.
Uno degli elementi principali degli ultimi attacchi è stata una versione aggiornata della backdoor TONESHELL. Secondo Zscaler ThreatLabz (1 , 2), la sua modifica ora utilizza un protocollo FakeTLS migliorato per comunicare con il server di comando e controllo e ha anche cambiato il metodo di generazione e memorizzazione degli identificatori delle vittime. Ciò riduce la probabilità di rilevamento e aumenta la resilienza quando si opera all’interno di una rete compromessa.
Oltre alla versione aggiornata di TONESHELL, gli esperti hanno identificato contemporaneamente tre sue varianti. Una di queste è una normale reverse shell, l’altra consente di scaricare DLL dal server di controllo e di iniettarle in processi legittimi come “svchost.exe“. La terza opzione è la più complessa: scarica file arbitrari ed esegue comandi dal server remoto tramite il proprio protocollo TCP.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un miglioramento significativo del toolkit è stato il componente StarProxy, utilizzato per lo spostamento verso reti interne. Viene avviato tramite DLL Sideloading e utilizza lo stesso protocollo FakeTLS. StarProxy esegue il proxy del traffico tra le macchine infette e i server C&C utilizzando socket TCP e crittografando i dati con un algoritmo XOR personalizzato. Il suo utilizzo è particolarmente efficace quando si lavora con dispositivi che non hanno accesso diretto a Internet.
Inoltre, durante l’indagine, gli specialisti di Zscaler hanno scoperto due nuovi keylogger: PAKLOG e CorKLOG. Entrambi registrano le sequenze di tasti premuti e i dati degli appunti, tuttavia CorKLOG utilizza la crittografia RC4 per memorizzare i registri e crea meccanismi di avvio automatico tramite i servizi di sistema e il task scheduler. È importante notare che entrambi gli strumenti non trasferiscono dati autonomamente: questa funzione è implementata da componenti esterni, il che rende difficile il rilevamento.
Un altro elemento nell’arsenale di Mustang Panda è un driver del kernel di Windows chiamato SplatCloak. Si installa tramite lo strumento SplatDropper e disattiva i meccanismi di protezione associati alle soluzioni Windows Defender e Kaspersky Lab. Ciò consente ai processi dannosi di operare senza interferenze da parte dei sistemi di sicurezza.
Mustang Panda, nota anche come BASIN, Bronze President, Camaro Dragon, Earth Preta e altri alias, è attiva almeno dal 2012. Le sue attività si sono tradizionalmente concentrate su strutture governative, eserciti, minoranze etniche e organizzazioni non profit nei paesi dell’Asia orientale. Per lungo tempo uno dei suoi biglietti da visita è stata la distribuzione di PlugX tramite DLL Sideloading, ma negli ultimi anni si è assistito a un netto passaggio a mezzi più sofisticati e adattabili.
La varietà di nuovi componenti, gli aggiornamenti regolari e la mimetizzazione multistrato indicano un elevato livello di preparazione e flessibilità della squadra d’attacco. Tutte queste misure mirano ad aumentare l’efficienza e la sopravvivenza delle operazioni in condizioni di dura concorrenza nel campo della sicurezza informatica.
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006