De in China gevestigde dreigingsactor die bekend staat als Mustang Panda is waargenomen bij het verfijnen en aanpassen van zijn tactieken en malware om entiteiten in Azië, de Europese Unie, Rusland en de VS aan te vallen
“Mustang Panda is een zeer gemotiveerde APT-groep die voornamelijk vertrouwt op het gebruik van actueel kunstaas en social engineering om slachtoffers te misleiden om zichzelf te infecteren”, Cisco Talos zei in een nieuw rapport waarin de evoluerende modus operandi van de groep wordt beschreven.
Het is bekend dat de groep zich sinds ten minste 2012 op een breed scala van organisaties heeft gericht, waarbij de acteur voornamelijk vertrouwt op op e-mail gebaseerde social engineering om de eerste toegang te krijgen tot DropX, een achterdeur die voornamelijk wordt gebruikt voor toegang op de lange termijn.
Phishing-berichten die aan de campagne worden toegeschreven, bevatten kwaadaardig kunstaas dat zich voordoet als officiële rapporten van de Europese Unie over het aanhoudende conflict in Oekraïne of rapporten van de Oekraïense regering, die beide malware downloaden op gecompromitteerde machines.
Er zijn ook phishing-berichten waargenomen die zijn gericht op verschillende entiteiten in de VS en verschillende Aziatische landen zoals Myanmar, Hong Kong, Japan en Taiwan.
De bevindingen volgen op een recent rapport van Secureworks dat de groep het mogelijk heeft gehad op Russische overheidsfunctionarissen met behulp van een lokaas met PlugX dat zichzelf vermomde als een rapport over het grensdetachement naar Blagovesjtsjensk.
Maar soortgelijke aanvallen die tegen het einde van maart 2022 werden gedetecteerd, tonen aan dat de actoren hun tactieken updaten door de externe URL’s die worden gebruikt om verschillende componenten van de infectieketen te verkrijgen, te verminderen.
Anders dan PlugX, hebben infectieketens die door de APT-groep worden gebruikt, de inzet van aangepaste stagers, omgekeerde shells, Meterpreter-gebaseerde shellcodeen Cobalt Strike, die allemaal worden gebruikt om op afstand toegang te krijgen tot hun doelen met de bedoeling spionage en informatiediefstal uit te voeren.
“Door gebruik te maken van kunstaas op top- en conferentiethema’s in Azië en Europa, wil deze aanvaller zoveel mogelijk toegang krijgen op de lange termijn om spionage en informatiediefstal uit te voeren”, aldus Talos-onderzoekers.
