De China-uitgelijnde dreigingsacteur bekend als Mustang Panda is waargenomen met behulp van een bijgewerkte versie van een achterdeur genaamd ToneShell en een eerder USB -worm zonder papieren genaamd Snakedisk.
“De worm wordt alleen uitgevoerd op apparaten met IP-adressen in Thailand en laat de Yokai Backdoor vallen,” zeiden IBM X-Force-onderzoekers Golo Mühr en Joshua Chung in een analyse die vorige week werd gepubliceerd.
De cybersecurity -divisie van de tech -gigant volgt het cluster onder de naam Hive0154, die ook in grote lijnen wordt aangeduid als Basin, Bronze President, Camaro Dragon, Earth Preta, honingymyte, Polaris, Reddelta, Stately Taurus en Twill Typhoon. De door de overheid gesponsorde dreigingsacteur wordt verondersteld actief te zijn sinds minstens 2012.
Toneshell werd voor het eerst in november 2022 voor het eerst gedocumenteerd door Trend Micro als onderdeel van cyberaanvallen op Myanmar, Australië, de Filippijnen, Japan en Taiwan tussen mei en oktober. Meestal uitgevoerd via DLL Side-loading, is de primaire verantwoordelijkheid ervan om de volgende fase payloads op de geïnfecteerde host te downloaden.
Typische aanvalsketens omvatten het gebruik van speer-phishing-e-mails om malware-families zoals Pubload of Toneshell te laten vallen. Pubload, die ook op dezelfde manier functioneert als Toneshell, is ook in staat om ShellCode-payloads te downloaden via HTTP-postverzoeken van een opdracht-en-control (C2) -server.
De nieuw geïdentificeerde toneshell-varianten, met de naam ToneShell8 en Toneshell9 door IBM X-Force, ondersteunen C2-communicatie via lokaal geconfigureerde proxy-servers om in te gaan in enterprise netwerkverkeer en vergemakkelijk twee actieve reverse shells parallel. Het bevat ook junkcode gekopieerd van de chatgpt -website van Openai binnen de functies van de malware om statische detectie en weerstandsanalyse te ontwijken.
Ook gelanceerd met behulp van DLL Side-loading is een nieuwe USB-worm genaamd Snakteisk die deelt overlapt met Toneedisk (aka Wisprider), een ander USB-wormframework onder de Toneshell-familie. Het wordt voornamelijk gebruikt om nieuwe en bestaande USB -apparaten te detecteren die zijn verbonden met de host en gebruiken het als een manier van propagatie.
In het bijzonder verplaatst het de bestaande bestanden op de USB naar een nieuw subdirectory, waardoor het slachtoffer effectief wordt misleid om op de kwaadaardige payload op een nieuwe machine te klikken door de naam in te stellen op de volumenaam van het USB-apparaat, of “USB.EXE.” Zodra de malware is gelanceerd, worden de bestanden teruggebracht naar hun oorspronkelijke locatie.
Een opmerkelijk aspect van de malware is dat het is geofed om alleen uit te voeren op openbare IP -adressen geoloceerd naar Thailand. Snakteisk dient ook als een leiding om Yokai te laten vallen, een achterdeur die een omgekeerde schaal opzet om willekeurige opdrachten uit te voeren. Het werd eerder gedetailleerd door Netskope in december 2024 in intrusies die gericht zijn op Thaise ambtenaren.
“Yokai toont overlappingen met andere achterdeurfamilies toegeschreven aan Hive0154, zoals Pubload/Pubshell en Toneshell,” zei IBM. “Hoewel die families duidelijk afzonderlijke stukken malware zijn, volgen ze ongeveer dezelfde structuur en gebruiken ze vergelijkbare technieken om een omgekeerde shell op te zetten met hun C2 -server.”
Het gebruik van Snakteisk en Yokai wijst waarschijnlijk op een subgroep in Mustang Panda die hypergericht is op Thailand, terwijl het ook de voortdurende evolutie en verfijning van het arsenaal van de dreigingsacteur onderstreept.
“Hive0154 blijft een zeer capabele dreigingsacteur met meerdere actieve subclusters en frequente ontwikkelingscycli,” concludeerde het bedrijf. “Deze groep lijkt een aanzienlijk groot malware -ecosysteem te handhaven met frequente overlappingen in beide kwaadaardige code, technieken die tijdens aanvallen worden gebruikt, evenals targeting.”
