Malware Mustang Panda

Mustang Panda (alias Bronze President, HoneyMyte, RedDelta, Red Lich, Earth Preta, PKPLUG y TA416) se atribuye a actores de amenazas con base en China. Los ciberataques de Mustang Panda se han dirigido a gobiernos extranjeros, ONG y otras organizaciones consideradas enemigas del régimen comunista chino. Los ataques se han centrado en Taiwán, Hong Kong, Myanmar, Mongolia, Vietnam, el Vaticano católico y grupos religiosos minoritarios con sede en China. Mustang Panda fue observado por primera vez por los investigadores de amenazas en 2017, pero lleva activo desde 2012. 

Mustang Panda utiliza campañas de spear phishing bien fraguadas que emplean los idiomas nativos de los objetivos para hacerse pasar por organizaciones de servicios gubernamentales y aprovechar acontecimientos internacionales de actualidad, como el COVID-19 y el conflicto entre Rusia y Ucrania, para coaccionar las interacciones.

Mustang Panda utiliza un conjunto limitado de TTP distintos en sus campañas de ataque, principalmente versiones personalizadas de la cepa de malware PlugX (alias Korplug). Los ataques de Mustang Panda suelen comenzar con una carga maliciosa de archivo ejecutable portátil (.exe) enviada a través de un ataque de spear-phishing, pero también se han enviado a través de archivos de acceso directo de Microsoft (.LNK) que contienen un HTA incrustado (aplicación HTML) y un script VBScript o PowerShell. Si se entrega a través de un ejecutable.exe, la carga maliciosa suele enmascararse con un icono personalizado diseñado para parecerse al de un documento de Microsoft Office y una extensión doble como ".doc.exe" para engañar a las víctimas y hacerles creer que se trata de un documento de Office normal. Cuando la víctima lo ejecuta, se abre un documento de Office real; en segundo plano, se despliega la carga útil de la primera fase.

El ejecutable contiene varios componentes empaquetados, incluido un binario firmado legítimo como Microsoft Suite Integration Toolkit, una aplicación de Adobe u otro ejecutable legítimo con una vulnerabilidad conocida de carga lateral de DLL. El uso de un binario legítimo firmado permite que la carga útil no sea detectada por productos de seguridad menos sofisticados, mientras que el uso de software con una vulnerabilidad conocida de secuestro de DLL permite que el código malicioso se ejecute en el contexto de la aplicación legítima. Esta técnica de ataque suele cargar lateralmente una variante personalizada de la carga útil del malware PlugX. 

A continuación, el malware PlugX descarga una aplicación de mando y control (C2) de segunda fase, como la herramienta de administración remota Poison Ivy o Cobalt Strike Beacon, para establecer una conexión con un servidor controlado por Mustang Panda. Mustang Panda suele utilizar cifrado XOR simple con la clave "123456789" para cifrar su comunicación C2 en tránsito.

Mustang Panada tiende a aprovecharse de objetivos con defensas de ciberseguridad poco sofisticadas. Mustang Panda emplea técnicas como el cifrado XOR de la comunicación C2 utilizando una clave de cifrado estática que las soluciones de ciberseguridad avanzadas podrían detectar fácilmente. No obstante, es esencial implementar medidas que puedan prevenir un ataque Mustang Panada como:

• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Mantener actualizadas las firmas y los motores antivirus de todos los productos de seguridad.
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.