Un gruppo di hacker legato alla Cina, chiamato Mustang Panda, è stato collegato a un attacco informatico mirato a un ente governativo delle Filippine in mezzo alle crescenti tensioni tra i due paesi per la disputa nel Mar Cinese Meridionale.
Cosa si sa del gruppo hacker Mustang Panda e di questo attacco
Palo Alto Networks Unit 42 ha attribuito l’origine di questo attacco a ben tre campagne nell’agosto 2023, concentrandosi principalmente su organizzazioni nel Pacifico del Sud.
“Le campagne hanno sfruttato software legittimo, tra cui Solid PDF Creator e SmadavProtect (una soluzione antivirus con sede in Indonesia), per caricare file dannosi“, ha dichiarato l’azienda. “Gli autori delle minacce [informatiche] hanno anche configurato in modo creativo il malware per fingere di essere il traffico Microsoft legittimo per le connessioni di comando e controllo (C2)“.
Il gruppo Mustang Panda, anche conosciuto con i nomi Bronze President, Camaro Dragon, Earth Preta, RedDelta e Stately Taurus, è valutato come una minaccia persistente avanzata cinese (APT) attiva almeno dal 2012, orchestrando campagne di spionaggio informatico mirate a organizzazioni non governative (ONG) e enti governativi in Nord America, Europa e Asia.
Alla fine di settembre 2023, Unit 42 ha anche mostrato come questo gruppo di hacker sia coinvolto in altri attacchi mirati a un governo del Sud-Est asiatico non specificato per distribuire una variante di un backdoor chiamato TONESHELL.
Le ultime campagne sfruttano email di spear-phishing per consegnare un file di archivio ZIP dannoso che contiene una libreria a collegamento dinamico (DLL) fraudolenta che viene lanciata utilizzando una tecnica chiamata DLL side-loading. La DLL stabilisce successivamente un contatto con un server remoto.
Si ritiene che l’ente governativo delle Filippine sia stato compromesso probabilmente nel periodo di cinque giorni tra il 10 e il 15 agosto 2023.
L’uso di SmadavProtect è una tattica conosciuta adottata da Mustang Panda negli ultimi mesi, avendo distribuito malware appositamente progettato per eludere la soluzione di sicurezza.
“Stately Taurus continua a dimostrare la sua capacità di condurre operazioni di spionaggio informatico persistente come una delle APT cinesi più attive“, hanno dichiarato i ricercatori. “Queste operazioni mirano a una varietà di entità a livello globale che si allineano con argomenti geopolitici di interesse per il governo cinese.”
La divulgazione arriva mentre un gruppo hacker APT sudcoreano chiamato Higaisa è stato scoperto nel mirare gli utenti cinesi attraverso siti di phishing che imitano applicazioni software ben note come OpenVPN.
“Una volta eseguito, l’installatore rilascia e esegue malware basato su Rust sul sistema, attivando successivamente uno shellcode“, ha dichiarato Cyble alla fine del mese scorso. “Lo shellcode esegue operazioni anti-debugging e di decrittografia. In seguito, stabilisce una comunicazione di comando e controllo (C&C) crittografata con un attore minaccioso remoto (TA)“.
Altri casi simili a Mustang Panda
Questo attacco informatico si inserisce in una serie di casi simili verificatisi in passato, in cui alcuni hacker o gruppi di hacking mandati da qualche stato hanno preso di mira entità governative o organizzazioni in mezzo a contesti geopolitici tesi.
Ad esempio, nel 2015, il gruppo di hacker cinese APT28, noto anche come Fancy Bear, è stato implicato in attacchi informatici mirati a istituzioni governative e organizzazioni non governative in varie parti del mondo e allo stesso modo, nel 2017, è emerso che il gruppo di hacker russi APT29, o Cozy Bear, aveva orchestrato operazioni di cyber spionaggio contro obiettivi governativi.
Questi casi evidenziano la crescente complessità e il coinvolgimento degli hacker mandati dai governi nel panorama delle minacce informatiche globali.
