Un recente rapporto di Trend Micro ha portato alla luce una nuova tecnica utilizzata dal gruppo cinese di hacker sponsorizzati dallo stato, noto come Mustang Panda. Questi hacker sono riusciti a sfruttare MAVInject.exe, un'utilità legittima di Microsoft Windows, per iniettare un payload dannoso in un processo esterno, waitfor.exe. Questo metodo è particolarmente efficace quando rilevano che l'antivirus ESET è in esecuzione, consentendo loro di aggirare i meccanismi di rilevamento e mantenere il controllo sui sistemi infetti.

L'attacco si avvia con un eseguibile chiamato "IRSetup.exe", che funge da dropper per diversi file, inclusi componenti legittimi e dannosi. Un documento esca viene utilizzato per distrarre la vittima, suggerendo che l'attacco possa essere stato veicolato tramite email di phishing mirate, specialmente verso utenti in Thailandia. Questo sottolinea ulteriormente l'ipotesi che gli attacchi siano stati progettati per colpire specifici obiettivi.

Una volta eseguito il dropper, un'applicazione di Electronic Arts viene utilizzata per caricare lateralmente un DLL dannoso chiamato "EACore.dll", una versione modificata del backdoor TONESHELL. Questo malware verifica la presenza di processi associati all'antivirus ESET, come "ekrn.exe" o "egui.exe". Se rilevati, esegue "waitfor.exe" e utilizza MAVInject.exe per eseguire il codice malevolo senza essere rilevato.

Waitfor.exe è un'utilità di Windows nativa che consente la sincronizzazione tra processi su macchine in rete, mentre MAVInject.exe è in grado di eseguire codici malevoli attraverso l'iniezione in processi in esecuzione, bypassando così la rilevazione da parte di ESET. È possibile che Mustang Panda abbia testato il loro attacco su sistemi con ESET, perfezionando la tecnica per massimizzare l'efficacia.

Il malware, una variante di TONESHELL, si collega a un server remoto per ricevere comandi per stabilire una shell inversa, trasferire file e cancellarli. ESET ha risposto al rapporto di Trend Micro, affermando che la tecnica non è una novità e che i loro utenti sono protetti da questa minaccia grazie alle loro soluzioni di rilevamento avanzate.