La amenaza de Mustang Panda: nueva variante de puerta trasera PlugX detectada en Asia
Los investigadores de Trend Micro, Sunny Lu y Pierre Lee, han descubierto que Mustang Panda, el actor de amenazas vinculado a China, está utilizando una variante personalizada del malware PlugX, llamada DOPLUGS para atacar objetivos en Taiwán, Vietnam, Hong Kong, India, Japón, Malasia, Mongolia y China. Los ataques están dirigidos a entidades gubernamentales, diplomáticas y políticas utilizando cadenas de spear-phishing bien forjadas y malware personalizado. El modus operandi del actor incluye el uso de su propio software malicioso, como RedDelta, Thor y Hodur, distribuido a través de campañas de phishing.
DOPLUGS, descubierto por Secureworks en septiembre de 2022, es un descargador de malware con cuatro comandos de backdoor que incluye el malware PlugX. La variante personalizada de PlugX creada por Mustang Panda es diferente, ya que solo se utiliza para descargar un módulo de comando del backdoor PlugX. La DLL maliciosa está escrita en el lenguaje de programación Nim y utiliza una propia implementación del algoritmo RC4 para descifrar PlugX.
La variante DOPLUGS también está integrada con KillSomeOne, responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB. Además, esta versión incluye un componente de lanzamiento adicional que ejecuta un ejecutable legítimo para realizar DLL-sideloading y descargar malware de una próxima etapa desde un servidor controlado por Mustang Panda.
El grupo de amenazas conocido como Mustang Panda ha estado activo desde al menos 2012 y sigue siendo muy activo, especialmente en Europa y Asia. La detección de esta nueva variante del malware PlugX muestra que el grupo está refinando constantemente sus herramientas y agregando nuevas funciones y características a su repertorio. Los investigadores destacan la importancia de estar alerta a las llamativas campañas de spear-phishing y mantener sistemas y software de seguridad actualizados para combatir estas amenazas.
Vía The Hacker News