De aan China gelieerde Mustang Panda-acteur is in verband gebracht met een cyberaanval gericht op een Filippijnse overheidsinstantie, te midden van toenemende spanningen tussen de twee landen over de betwiste Zuid-Chinese Zee.
Palo Alto Networks Unit 42 schreef het vijandige collectief toe aan drie campagnes in augustus 2023, waarbij vooral organisaties in de Stille Zuidzee werden uitgekozen.
“De campagnes maakten gebruik van legitieme software, waaronder Solid PDF Creator en SmadavProtect (een Indonesische antivirusoplossing) om kwaadaardige bestanden te sideloaden”, aldus het bedrijf.
“Auteurs van bedreigingen hebben de malware ook op creatieve wijze geconfigureerd om legitiem Microsoft-verkeer na te bootsen voor command-and-control (C2)-verbindingen.”
Mustang Panda, ook gevolgd onder de namen Bronze President, Camaro Dragon, Earth Preta, RedDelta en Stately Taurus, wordt beschouwd als een Chinese geavanceerde persistente dreiging (APT) die sinds minstens 2012 actief is en cyberspionagecampagnes orkestreert die gericht zijn op niet-gouvernementele organisaties (NGO’s) en overheidsinstanties in Noord-Amerika, Europa en Azië.
Eind september 2023 betrok Unit 42 de dreigingsactor ook bij aanvallen gericht op een niet bij naam genoemde Zuidoost-Aziatische regering om een variant van een achterdeur genaamd TONESHELL te verspreiden.
De nieuwste campagnes maken gebruik van spearphishing-e-mails om een kwaadaardig ZIP-archiefbestand af te leveren dat een frauduleuze Dynamic-Link Library (DLL) bevat die wordt gelanceerd met behulp van een techniek die DLL side-loading wordt genoemd. De DLL brengt vervolgens contact tot stand met een externe server.
Er wordt geschat dat de Filippijnse overheidsinstantie waarschijnlijk in gevaar is gebracht gedurende een periode van vijf dagen tussen 10 en 15 augustus 2023.
Het gebruik van SmadavProtect is een bekende tactiek die Mustang Panda de afgelopen maanden heeft toegepast, waarbij malware werd ingezet die uitdrukkelijk was ontworpen om de beveiligingsoplossing te omzeilen.
“Stately Taurus blijft zijn vermogen aantonen om aanhoudende cyberspionageoperaties uit te voeren als een van de meest actieve Chinese APT’s”, aldus de onderzoekers.
“Deze operaties zijn wereldwijd gericht op een verscheidenheid aan entiteiten die aansluiten bij geopolitieke onderwerpen die van belang zijn voor de Chinese overheid.”
De onthulling komt nadat een Zuid-Koreaanse APT-acteur genaamd Higaisa is ontdekt die zich richt op Chinese gebruikers via phishing-websites die bekende softwareapplicaties zoals OpenVPN nabootsen.
“Eenmaal uitgevoerd, dropt het installatieprogramma Rust-gebaseerde malware op het systeem en activeert het vervolgens een shellcode”, zei Cyble eind vorige maand. “De shellcode voert anti-debugging- en decoderingsbewerkingen uit. Daarna brengt het gecodeerde command-and-control (C&C) communicatie tot stand met een externe Threat Actor (TA).”
