L’acteur menaçant basé en Chine connu sous le nom de Mustang Panda a été observé en train d’affiner et de réorganiser ses tactiques et ses logiciels malveillants pour frapper des entités situées en Asie, dans l’Union européenne, en Russie et aux États-Unis. « Mustang Panda est un groupe APT très motivé qui s’appuie principalement sur l’utilisation de leurres topiques et d’ingénierie sociale pour inciter les victimes à s’infecter », a déclaré Cisco Talos dans un nouveau rapport détaillant l’évolution du mode opératoire du groupe. Le groupe est connu pour avoir ciblé un large éventail d’organisations depuis au moins 2012, l’acteur s’appuyant principalement sur l’ingénierie sociale basée sur le courrier électronique pour obtenir un accès initial à la suppression de PlugX, une porte dérobée principalement déployée pour un accès à long terme. Les messages de phishing attribués à la campagne contiennent des leurres malveillants se faisant passer pour des rapports officiels de l’Union européenne sur le conflit en cours en Ukraine ou des rapports du gouvernement ukrainien, qui téléchargent tous deux des logiciels malveillants sur des machines compromises.
On observe également des messages de phishing adaptés pour cibler diverses entités aux États-Unis et dans plusieurs pays asiatiques comme le Myanmar, Hong Kong, le Japon et Taïwan. Les conclusions font suite à un rapport récent de Secureworks selon lequel le groupe aurait pu cibler des responsables du gouvernement russe en utilisant un leurre contenant PlugX qui se déguisait en rapport sur le détachement frontalier de Blagoveshchensk. Les incursions font partie d’un ensemble plus large d’activités récemment divulguées par Google Threat Analysis Group, Proofpoint et ESET en mars pour distribuer une variante auparavant non documentée de PlugX sur des machines compromises. Mais des attaques similaires détectées vers la fin du mois de mars 2022 montrent que les acteurs mettent à jour leur tactique en réduisant les URL distantes utilisées pour obtenir différents composants de la chaîne d’infection. Outre PlugX, les chaînes d’infection utilisées par le groupe APT ont impliqué le déploiement de stagers personnalisés, de shells inversés, de shellcodes basés sur Meterpreter et de Cobalt Strike, qui sont tous utilisés pour établir un accès à distance à leurs cibles dans le but de mener des opérations d’espionnage et vol d’informations. « En utilisant des leurres sur le thème des sommets et des conférences en Asie et en Europe, cet attaquant vise à obtenir autant d’accès à long terme que possible pour mener de l’espionnage et du vol d’informations », ont déclaré les chercheurs de Talos.