Hackers chinos apuntan a entidades europeas con nueva puerta trasera MQsTTang

Hackers chinos apuntan a entidades europeas con nueva puerta trasera MQsTTang - Codelivly

 

Se observó al actor de Mustang Panda alineado con China usando una puerta trasera personalizada nunca antes vista llamada MQsTTang como parte de una campaña de ingeniería social en curso que comenzó en enero de 2023.

"A diferencia de la mayoría de los programas maliciosos del grupo, MQsTTang no parece estar basado en familias existentes o proyectos disponibles públicamente", dijo el investigador de ESET Alexandre Côté Cyr en un nuevo informe.

Las cadenas de ataques orquestados por el grupo han intensificado los ataques contra entidades europeas tras la invasión a gran escala de Ucrania por parte de Rusia el año pasado. La victimología de la actividad actual no está clara, pero la firma de seguridad cibernética eslovaca dijo que los nombres de los archivos señuelo están en línea con las campañas anteriores del grupo que apuntaban a organizaciones políticas europeas.

Dicho esto, ESET también ha observado ataques contra entidades desconocidas en Bulgaria y Australia, así como contra una institución gubernamental en Taiwán, lo que indica un enfoque en Europa y Asia.

Mustang Panda tiene un historial de uso de un troyano de acceso remoto llamado PlugX para lograr sus objetivos, aunque las intrusiones recientes han hecho que el grupo amplíe su arsenal de malware para incluir herramientas personalizadas como TONEINS, TONASHELL y PUBLOAD.

Puerta trasera MQsTTang

En diciembre de 2022, Avast reveló otra serie de ataques dirigidos a agencias gubernamentales y ONG políticas en Myanmar que condujeron a la filtración de datos confidenciales, incluidos volcados de correo electrónico, archivos, audiencias judiciales, informes de interrogatorios y transcripciones de reuniones, utilizando una variante de PlugX llamada Hodur. y una utilidad de carga de Google Drive.

Además, se descubrió que un servidor FTP vinculado al autor de la amenaza alojaba una variedad de herramientas previamente no documentadas que se usaban para distribuir malware a los dispositivos infectados, incluido un troyano basado en Go llamado JSX y una puerta trasera sofisticada llamada HT3.

El desarrollo de MQsTTang indica una continuación de esta tendencia, a pesar de que es una puerta trasera "básica" de un solo paso sin ninguna técnica de ofuscación que permite la ejecución de comandos arbitrarios recibidos desde un servidor remoto.

Sin embargo, un aspecto inusual del implante es el uso de un protocolo de mensajería IoT llamado MQTT para comunicaciones de comando y control (C2), que se logra utilizando una biblioteca de código abierto llamada QMQTT, un cliente MQTT para la aplicación multiplataforma Qt framework.

El vector de intrusión inicial para los ataques es el phishing selectivo, con MQTT distribuido a través de archivos RAR que contienen un solo ejecutable que presenta nombres de archivo con temas diplomáticos (por ejemplo, "PDF_Pasaporte y CV de miembros diplomáticos de Tokio de JAPÓN. eXE").

"Esta nueva puerta trasera MQsTTang proporciona una especie de shell remoto sin las campanas y silbidos asociados con otras familias de malware en el grupo", dijo Côté Cyr. "Sin embargo, muestra que Mustang Panda está explorando nuevas tecnologías para sus herramientas".

¿Te pareció interesante este artículo? siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

Si quieres conocer otros artículos parecidos a Hackers chinos apuntan a entidades europeas con nueva puerta trasera MQsTTang puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas