El grupo de ciberdelincuentes chino Mustang Panda es sospechoso de dirigirse al Ministerio de Defensa y Asuntos Exteriores de Myanmar en dos campañas separadas diseñadas para infiltrar troyanos de acceso remoto y puertas traseras. CSIRT-CTI afirma que los ataques tuvieron lugar en noviembre de 2023 y enero de 2024, y descubrió que los ciberataques utilizaban software legítimo, incluido un binario desarrollado por la empresa de ingeniería Bernecker & Rainer (B&R) y un componente del asistente de actualización de Windows 10 para cargar bibliotecas de vínculos dinámicamente (DLL) maliciosas. Mustang Panda también es conocido como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus y TEMP.Hex. Se cree que Mustang Panda también perpetró recientes ataques contra un gobierno del sudeste asiático no identificado y Filipinas.
La primera cadena de ataques comenzó con un correo electrónico de phishing que lleva un archivo adjunto de ZIP infectado que contiene un ejecutable legítimo que está firmado originalmente por B&R Industrial Automation GmbH. El ataque aprovecha el hecho de que el binario es susceptible a la piratería de orden de búsqueda de DLL para cargar la DLL fraudulenta y posteriormente contactar con un servidor de comando y control (C2) para recuperar una puerta trasera y dejar el implante PlugX.
Por otro lado, la segunda campaña utiliza una imagen de disco óptico que contiene accesos directos LNK para desencadenar un proceso de varias etapas que utiliza otro cargador llamado TONESHELL para probablemente implementar PlugX desde un servidor C2 ahora inaccesible. CSIRT-CTI señaló que ‘los actores de amenazas intentan disfrazar el tráfico [C2] como tráfico de actualización de Microsoft agregando los encabezados ‘Host: www.asia.microsoft.com’ y ‘User-Agent: Windows-Update-Agent».
Una cadena de ataque similar atribuida a Mustang Panda fue descubierta previamente por EclecticIQ en febrero de 2023 en intrusiones dirigidas a organizaciones gubernamentales y del sector público en Asia y Europa. Después de los ataques rebeldes en el norte de Myanmar en octubre de 2023, China expresó su preocupación por su efecto en las rutas comerciales y la seguridad alrededor de la frontera entre Myanmar y China, y se sabe que las operaciones de Stately Taurus se alinean con los intereses geopolíticos del gobierno chino, incluidas múltiples operaciones de ciberespionaje contra Myanmar en el pasado.
