De aan China verbonden spionagegroep Mustang Panda voert twee campagnes tegen de Indiase regering en waterkrachtdoelen, waarbij nieuwe malware wordt ingezet en een legitieme cloudservice als commandokanaal wordt gebruikt.
De Acronis Threat Research Unit ontdekte actieve compromissen binnen Indiase overheidsnetwerken, waaronder machines die door hoger administratief personeel worden gebruikt, en werkte samen met CERT-In aan melding en opruiming.
De malware maakt misbruik van Zoho WorkDrive, een cloudopslagplatform dat veel voorkomt in de Indiase overheidssector, om opdrachten door te geven en gegevens te exfiltreren. Dat is het hele idee: het verkeer ziet eruit als gewone cloudactiviteit en verbergt zich dus binnen het netwerk waarvan het steelt.
Acronis noemt drie nieuwe tools.
- SCHARDLADER is een lader die wordt uitgevoerd door een kwaadaardige DLL te sideloaden via een legitiem ondertekend binair bestand, een uitvoerbaar bestand van Solid PDF Creator in de ene campagne en een binair bestand van Citrix Receiver in de andere. Er wordt een van de twee implantaten ingezet.
- MINIRECON is een herwerkte variant van de Toneshell-backdoor, gedocumenteerd door IBM X-Force, die nu via een WebSocket-verbinding op HTTPS zwaait.
- ZOHOMURK is het nieuwe stuk: het bevat hardgecodeerde Zoho OAuth-referenties en gebruikt deze om een door een aanvaller bestuurd WorkDrive-account als een dead drop uit te voeren, opdrachten uit een inbox-map te lezen en gestolen uitvoer naar een outbox te schrijven.
Beide campagnes arriveren als ZIP-archieven waarbij de kwaadaardige DLL als verborgen is gemarkeerd. Acronis denkt dat ze via spearphishing zijn geleverd. Het kunstaas past bij de doelstellingen: het ene had als thema een voorstel voor samenwerking op het gebied van waterkracht, het andere rond een memorandum van overeenstemming tussen Indiase en Taiwanese instellingen.
Volgens Acronis is het doel inlichtingen over de waterkrachtplannen van India en zijn defensiebanden met Taiwan. Acronis schrijft de activiteit met veel vertrouwen toe aan Mustang Panda.
Het rapport bevat de hergebruikte sideloading-keten van Solid PDF Creator, code-overlap met Toneshell, opdrachtservers die in hetzelfde netwerkblok zitten als de infrastructuur van IBM X-Force die aan de groep is gekoppeld, en een terugkerende typefout, RunOnece, die over meerdere implantaten wordt overgebracht.
De operationele veiligheid was mager. Hardgecodeerde tokens, platte tekst-ID’s en hergebruikte infrastructuur hielpen analisten allemaal om dit vast te stellen. Actieve bakening liep van 12 juni tot 22 juni 2026.
Dit zet een gestage aanval op Indiase doelen voort. In april koppelde Acronis de LOTUSLITE-achterdeur van de groep aan aanvallen op de Indiase banksector en Zuid-Koreaanse beleidskringen, eveneens via een legitieme clouddienst. De bredere, aan China gekoppelde belangstelling voor de Indiase energiesector gaat verder terug: de RedEcho-campagne van 2021 richtte zich met ShadowPad op het elektriciteitsnet van het land.
Er is geen patch die moet worden toegepast. De verdediging pakt de levering en het cloudmisbruik op. Acronis publiceerde indicatoren en jachttips, waaronder de persistentie Run-sleutels, een geplande taak met de naam SolidPDFPcl2Bmp, het C2-domein couldinstallup(.)com en de Zoho-gebruikersagenten die verschijnen bij niet-browserprocessen.
Overheids- en energieorganisaties, vooral degenen die verbonden zijn aan grensoverschrijdende deals die Peking waarschijnlijk zullen interesseren, moeten op hun hoede zijn voor geopolitieke lokmiddelen en sideloading van ondertekende binaire bestanden. En markeer elk eindpuntproces dat cloud-API’s aanroept en waarvoor geen reden bestaat om dit aan te raken.
