Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Un attacco rilevato, sei armi nuove: il ritorno di Mustang Panda terrorizza l’Asia

Redazione RHC : 2 Maggio 2025 08:14

Il gruppo Mustang Panda, legato alla Cina, è tornato sotto i riflettori dopo aver preso di mira un’organizzazione in Myanmar. L’operazione ha comportato l’impiego di una nuova ondata di strumenti dannosi che non erano stati precedentemente osservati dai ricercatori. Questo caso evidenzia quanto il gruppo adotti misure sistematiche e mirate per aumentare la sofisticatezza e la segretezza dei propri attacchi informatici.

Uno degli elementi principali degli ultimi attacchi è stata una versione aggiornata della backdoor TONESHELL. Secondo Zscaler ThreatLabz (1 , 2), la sua modifica ora utilizza un protocollo FakeTLS migliorato per comunicare con il server di comando e controllo e ha anche cambiato il metodo di generazione e memorizzazione degli identificatori delle vittime. Ciò riduce la probabilità di rilevamento e aumenta la resilienza quando si opera all’interno di una rete compromessa.

Oltre alla versione aggiornata di TONESHELL, gli esperti hanno identificato contemporaneamente tre sue varianti. Una di queste è una normale reverse shell, l’altra consente di scaricare DLL dal server di controllo e di iniettarle in processi legittimi come “svchost.exe“. La terza opzione è la più complessa: scarica file arbitrari ed esegue comandi dal server remoto tramite il proprio protocollo TCP.

Un miglioramento significativo del toolkit è stato il componente StarProxy, utilizzato per lo spostamento verso reti interne. Viene avviato tramite DLL Sideloading e utilizza lo stesso protocollo FakeTLS. StarProxy esegue il proxy del traffico tra le macchine infette e i server C&C utilizzando socket TCP e crittografando i dati con un algoritmo XOR personalizzato. Il suo utilizzo è particolarmente efficace quando si lavora con dispositivi che non hanno accesso diretto a Internet.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Inoltre, durante l’indagine, gli specialisti di Zscaler hanno scoperto due nuovi keylogger: PAKLOG e CorKLOG. Entrambi registrano le sequenze di tasti premuti e i dati degli appunti, tuttavia CorKLOG utilizza la crittografia RC4 per memorizzare i registri e crea meccanismi di avvio automatico tramite i servizi di sistema e il task scheduler. È importante notare che entrambi gli strumenti non trasferiscono dati autonomamente: questa funzione è implementata da componenti esterni, il che rende difficile il rilevamento.

Un altro elemento nell’arsenale di Mustang Panda è un driver del kernel di Windows chiamato SplatCloak. Si installa tramite lo strumento SplatDropper e disattiva i meccanismi di protezione associati alle soluzioni Windows Defender e Kaspersky Lab. Ciò consente ai processi dannosi di operare senza interferenze da parte dei sistemi di sicurezza.

Mustang Panda, nota anche come BASIN, Bronze President, Camaro Dragon, Earth Preta e altri alias, è attiva almeno dal 2012. Le sue attività si sono tradizionalmente concentrate su strutture governative, eserciti, minoranze etniche e organizzazioni non profit nei paesi dell’Asia orientale. Per lungo tempo uno dei suoi biglietti da visita è stata la distribuzione di PlugX tramite DLL Sideloading, ma negli ultimi anni si è assistito a un netto passaggio a mezzi più sofisticati e adattabili.

La varietà di nuovi componenti, gli aggiornamenti regolari e la mimetizzazione multistrato indicano un elevato livello di preparazione e flessibilità della squadra d’attacco. Tutte queste misure mirano ad aumentare l’efficienza e la sopravvivenza delle operazioni in condizioni di dura concorrenza nel campo della sicurezza informatica.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’IA ha fame di Energia! Al via HyperGrid, il più grande complesso nucleare privato
Di Redazione RHC - 03/08/2025

Fermi America ha firmato un memorandum d’intesa con Hyundai Engineering & Construction (Hyundai E&C) per progettare e costruire la parte nucleare di un progetto infrastrutturale energet...

Arrestato un medico torinese per produzione di materiale pedopornografico
Di Redazione RHC - 03/08/2025

La Polizia di Stato, in esecuzione di ordinanza di custodia cautelare emessa dal GIP di Torino, ha proceduto all’arresto di un quarantenne medico torinese indagato per produzione di contenuti m...

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...