Hackers chinos están usando una nueva puerta trasera personalizada para evadir la detección
Investigadores descubrieron que el grupo chino de hackers Mustang Panda está implementando una nueva puerta trasera personalizada llamada ‘MQsTTang‘. La puerta trasera está siendo utilizada en ataques que comenzaron este año.
Mustang Panda es un grupo de amenazas persistentes avanzadas (APT) conocido por atacar organizaciones de todo el mundo en ataques de robo de datos utilizando versiones personalizadas del malware PlugX. Los atacantes también se conocen como TA416 y Bronze President.
El nuevo malware de puerta trasera MQsTTang de Mustang Panda no parece estar basado en malware anterior. Esto indica que los hackers probablemente lo desarrollaron para evadir la detección y dificultar la atribución.
Los investigadores de ESET descubrieron MQsTTang en una campaña que comenzó en enero de 2023 y aún continúa. La campaña se dirige a organizaciones gubernamentales y políticas de Europa y Asia, centrándose en Taiwán y Ucrania.
La distribución de malware ocurre a través de correos electrónicos de phishing selectivo. Pero eso no es todo, además, los payloads se descargan de los repositorios de GitHub creados por un usuario asociado con campañas anteriores de Mustang Panda.
El malware es un ejecutable comprimido dentro de archivos RAR, con nombres de temática diplomática. Por ejemplo, escaneos de pasaportes de miembros de misiones diplomáticas, notas de embajadas, etc.
La nueva puerta trasera MQsTTang
ESET caracteriza a MQsTTang como una puerta trasera “barebone” que permite al atacante ejecutar comandos de forma remota en la máquina de la víctima y recibir los resultados.
“Esta nueva puerta trasera MQsTTang proporciona una especie de shell remoto sin ninguna de las alertas asociadas con las otras familias de malware del grupo. Sin embargo, muestra que Mustang Panda está explorando nuevos conjuntos tecnológicos para sus herramientas. Queda por ver si esta puerta trasera se convertirá en una parte recurrente del arsenal del grupo. No obstante, es un ejemplo más del rápido ciclo de desarrollo y despliegue del grupo.”
Informe de ESET
Al iniciarse, el malware crea una copia de sí mismo con un argumento de línea de comando que realiza varias tareas, como iniciar comunicaciones con el servidor de comando y control (C2), establecer persistencia, etc.
La persistencia se establece agregando una nueva clave de registro en “HKCU\Software\Microsoft\Windows\CurrentVersion\Run
“, que activa el malware al iniciar el sistema. Después de reiniciar, solo se ejecuta la tarea de comunicación con C2.
Puerta trasera evasiva
Una característica inusual de la puerta trasera novedosa es el uso del protocolo MQTT para las comunicaciones del servidor de comando y control.
MQTT le da al malware una buena resistencia a ataques contra el C2, oculta la infraestructura del atacante al pasar todas las comunicaciones a través de un corredor y hace que sea menos probable que lo detecten los defensores que buscan los protocolos de C2 de uso más común.
Para evitar la detección, MQsTTang verifica la presencia de depuradores o herramientas de monitoreo en el host. Y, si encuentra alguno, cambia su comportamiento en consecuencia.
Otra operación reciente de Mustang Panda fue observada entre marzo y octubre de 2022 por analistas de Trend Micro, quienes informaron haber visto una fuerte orientación contra organizaciones australianas, japonesas, taiwanesas y filipinas.
En esa campaña, el grupo de amenazas utilizó tres variedades de malware. Específicamente, usaron PubLoad, ToneIns y ToneShell; tres malwares que no están presentes en la campaña de 2023 detectada por ESET.
Finalmente, tal como mencionó Eset, hay que ver si MQsTTang se convierte o no en parte del arsenal a largo plazo del grupo o si se desarrolló específicamente para una operación en particular.