Mustang Panda, noto come uno degli attori di minacce più avanzati nella sfera del cyber spionaggio, ha affinato il suo arsenale di malware per spiare i governi dell’Asia-Pacifico. Secondo le nuove scoperte di Trend Micro, il gruppo, monitorato sotto il nome Earth Preta, ha sviluppato nuovi strumenti per facilitare l'esfiltrazione di dati e il dispiegamento di payload successivi. Uno dei malware chiave utilizzati da Mustang Panda è PUBLOAD, un downloader noto dal 2022, impiegato per attacchi contro enti governativi nella regione APAC per distribuire il malware PlugX.

I ricercatori di sicurezza Lenart Bermejo, Sunny Lu e Ted Lee hanno osservato che PUBLOAD non solo introduceva strumenti supplementari nell’ambiente target, come FDMTP e PTSOCKET, ma fungeva anche da condotto per esfiltrare dati tramite una variante del worm HIUPAN. Il malware PUBLOAD è capace di condurre ricognizioni sulla rete infetta e raccogliere file di interesse, come documenti Word e Excel, comprimendoli in un archivio RAR ed esfiltrandoli verso un sito FTP controllato dagli attaccanti tramite cURL.

Mustang Panda è noto per utilizzare unità rimovibili come vettore di propagazione per HIUPAN, una pratica documentata da Trend Micro già nel marzo 2023. Inoltre, il gruppo ha condotto una rapida campagna di spear-phishing nel giugno 2024, distribuendo email con allegati .url che lanciavano un downloader firmato denominato DOWNBAIT. Questa campagna ha preso di mira paesi come Myanmar, Filippine, Vietnam, Singapore, Cambogia e Taiwan, utilizzando documenti esca con nomi e contenuti specifici.

DOWNBAIT serve da loader di primo stadio per recuperare ed eseguire il shellcode PULLBAIT in memoria, che a sua volta scarica e esegue il backdoor CBROVER. Questo implant supporta il download di file e l'esecuzione remota di shell, fungendo anche da veicolo per il trojan di accesso remoto PlugX. PlugX si occupa poi di distribuire un altro collettore di file chiamato FILESAC per raccogliere i file delle vittime.

Le recenti rivelazioni di Palo Alto Networks Unit 42 indicano che Mustang Panda sta abusando della funzionalità di shell inversa integrata in Visual Studio Code per ottenere un punto d'appoggio nelle reti target, segnalando che l'attore di minacce sta attivamente modificando il suo modus operandi. Gli esperti di sicurezza sottolineano che Earth Preta ha mostrato significativi progressi nelle loro strategie di dispiegamento del malware, specialmente nelle campagne mirate contro enti governativi. Il gruppo ha evoluto le sue tattiche, sfruttando downloader multi-stadio e potenzialmente utilizzando servizi cloud di Microsoft per l'esfiltrazione dei dati.