Guerra cibernética/ataques a estados-nación, gestión de fraudes y delitos cibernéticos, enfoque geográfico: Asia
ESET descubre que Mustang Panda está utilizando la herramienta MQsTTang para apuntar a víctimas en Asia y Europa
Akshaya Asokan (Vivienda_Akshaya) •
3 de marzo de 2023
Un nuevo informe de la empresa de seguridad Eset revela que los piratas informáticos del estado-nación en China están utilizando una puerta trasera de malware nunca antes vista como parte de una campaña reciente dirigida a organizaciones gubernamentales en Europa y Asia.
Ver también: bajo demanda | Navegando por las dificultades de Patching OT
puerta trasera nueva, Apodado MQsTTang Desarrollado por investigadores de Eset, está siendo implementado por el grupo de piratería Mustang Panda como parte de una campaña continua de phishing que comenzó en enero, dirigida específicamente a organizaciones gubernamentales en Ucrania y Taiwán.
Según el informe, la nueva puerta trasera utiliza el protocolo MQTT para facilitar la comunicación entre dispositivos IoT como servidores de comando y control, lo que lo convierte en el primer caso conocido de una implementación del protocolo atrapada en malware.
“Desde el punto de vista de un atacante, una de las ventajas de MQTT es que oculta el resto de su infraestructura detrás de un intermediario”, dice el informe. Por lo tanto, el dispositivo comprometido nunca se comunica directamente con el servidor de comando y control.
El informe agrega que el malware se está propagando actualmente como archivos RAR alojados en un servidor web. Una vez que se implementa el malware, realiza una variedad de tareas, como establecer una conexión a un servidor de comando y control y establecer la persistencia.
Los investigadores de Eset no tienen claro el motivo detrás de esta campaña, pero dicen que podría ser el uso de «prueba y error» por parte de Mustang Panda para probar la nueva herramienta. El informe también dice que no se han detectado muchas versiones del malware más reciente.
Mustang Panda, también conocido como Bronze Chief y HoneyMyte, es un grupo de amenazas chino conocido por apuntar a organizaciones gubernamentales para actividades de ciberespionaje.
Según una advertencia reciente de la firma de seguridad CrowdStrike, el grupo se encuentra entre un puñado de grupos de estados-nación chinos que ahora explotan los días cero y otras vulnerabilidades para atacar a las organizaciones estadounidenses (ver: Los piratas informáticos estatales chinos mejoran sus habilidades: CrowdStrike).
