Los piratas informáticos chinos respaldados por el estado lanzaron una campaña de spearphishing para entregar malware personalizado almacenado en Google Drive a organizaciones gubernamentales, académicas y de investigación de todo el mundo.
Los ataques se observaron entre marzo y octubre de 2022 y los investigadores lo atribuyeron al grupo de ciberespionaje Mustang Panda (Presidente Bronce, TA416). Según los investigadores de Trend Micro, el grupo de amenazas apuntó principalmente a organizaciones en Australia, Japón, Taiwán, Myanmar y Filipinas.
Los piratas informáticos chinos utilizaron cuentas de Google para enviar mensajes de correo electrónico a sus objetivos con señuelos que los engañaron para que descargaran malware personalizado de los enlaces de Google Drive.
Detalles de la infección
En un informe de hoy, los investigadores de Trend Micro dicen que los piratas informáticos utilizaron mensajes con temas geopolíticos y que la mayoría de ellos (84 %) se dirigieron a organizaciones gubernamentales/legales.
Para eludir los mecanismos de seguridad, el enlace incrustado apunta a una carpeta de Google Drive o Dropbox, ambas plataformas legítimas con buena reputación que suelen ser menos sospechosas.
Estos enlaces conducen a la descarga de archivos comprimidos (RAR, ZIP, JAR) con cepas de malware personalizadas, como ToneShell, ToneIns y PubLoad.
«El asunto del correo electrónico puede estar vacío o tener el mismo nombre que el archivo malicioso», explica el informe.
«En lugar de agregar las direcciones de las víctimas al encabezado «Para» del correo electrónico, los atacantes usaron correos electrónicos falsos. Mientras tanto, las direcciones de las víctimas reales se escribieron en el encabezado «CC», probablemente para evadir el análisis de seguridad y ralentizar las investigaciones». -Trend Micro
Aunque los piratas informáticos utilizaron varias rutinas de carga de malware, el proceso generalmente implicaba la carga lateral de DLL después de que la víctima lanzara un archivo ejecutable presente en los archivos. Un documento señuelo se muestra en primer plano para minimizar las sospechas.
Evolución del malware
Las tres cepas de malware utilizadas en esta campaña son PubLoad, ToneIns y ToneShell.
De las tres piezas de malware personalizadas utilizadas en la campaña, solo PubLoad se ha documentado previamente en un informe de Cisco Talos de mayo de 2022 que describe campañas contra objetivos europeos.
PubLoad es un organizador responsable de crear persistencia agregando claves de registro y creando tareas programadas, descifrando shellcode y manejando comunicaciones de comando y control (C2).
Trend Micro dice que las versiones posteriores de PubLoad cuentan con mecanismos antianálisis más sofisticados, lo que implica que Mustang Panda está trabajando activamente para mejorar la herramienta.
ToneIns es un instalador de ToneShell, la principal puerta trasera utilizada en la campaña reciente. Utiliza la ofuscación para evadir la detección y cargar ToneShell al mismo tiempo que establece la persistencia en el sistema comprometido.
ToneShell es una puerta trasera independiente cargada directamente en la memoria, que ofrece ofuscación del flujo de código mediante la implementación de controladores de excepciones personalizados. Esto también funciona como un mecanismo anti-sandbox, ya que la puerta trasera no se ejecutará en un entorno de depuración.
Después de conectarse al C2, ToneShell envía un paquete con los datos de identificación de la víctima y luego espera nuevas instrucciones. Estos comandos permiten cargar, descargar y ejecutar archivos, crear shells para el intercambio de datos de intranet, cambiar la configuración de suspensión y más.
Actividad Mustang Panda
Trend Micro dice que esta campaña reciente presenta las mismas técnicas, tácticas y procedimientos (TTP) de Mustang Panda que Secureworks informó en septiembre de 2022.
La última campaña muestra signos de un conjunto de herramientas mejorado y capacidad de expansión, lo que aumenta la capacidad de los piratas informáticos chinos para recopilar inteligencia y violar objetivos.
A principios de este año, Proofpoint informó que Mustang Panda estaba enfocando sus operaciones en Europa, apuntando a diplomáticos de alto rango .
Un informe de Secureworks de la misma época detectó una campaña separada de Mustang Panda , esta vez dirigida a funcionarios rusos.
En marzo de 2022, ESET exploró las operaciones de Mustang Panda en el sudeste asiático, el sur de Europa y África, lo que indica que la pandilla de espionaje china es una amenaza global a pesar de tener ráfagas de actividad enfocada a corto plazo.
