Mustang Panda, un attore malevolo noto per essere legato alla Cina, è stato collegato a un attacco informatico contro un'organizzazione non specificata in Myanmar utilizzando strumenti innovativi. L'attacco evidenzia gli sforzi continui del gruppo per aumentare la sofisticazione e l'efficacia del loro malware. Tra gli strumenti utilizzati vi sono versioni aggiornate del backdoor TONESHELL, un nuovo strumento di movimento laterale chiamato StarProxy, due keylogger denominati PAKLOG e CorKLOG, e un driver di evasione EDR noto come SplatCloak.

TONESHELL

TONESHELL, un backdoor utilizzato da Mustang Panda, è stato aggiornato per migliorare il protocollo di comunicazione FakeTLS e i metodi di creazione e archiviazione degli identificatori dei client. Mustang Panda, noto anche come BASIN, è attivo almeno dal 2012 e ha una storia di attacchi a governi, enti militari e organizzazioni non governative principalmente in Asia orientale.

Recentemente, questo gruppo ha iniziato a distribuire una famiglia di malware personalizzati chiamata TONESHELL. Sono state scoperte tre nuove varianti di questo malware, ciascuna con livelli di sofisticazione diversi. La prima variante funge da semplice shell inversa, la seconda è in grado di scaricare DLL dal server di comando e controllo e la terza può scaricare file e creare sottoprocessi per eseguire comandi ricevuti da un server remoto.

StarProxy

StarProxy è un nuovo componente del toolkit di Mustang Panda, lanciato tramite il side-loading di DLL, che utilizza il protocollo FakeTLS per proxy traffic e facilitare le comunicazioni degli aggressori. Questo strumento consente agli aggressori di proxy traffic tra dispositivi infetti e i loro server di comando e controllo, utilizzando socket TCP per comunicare con il server e crittografando tutti i dati scambiati con un algoritmo di crittografia basato su XOR.

Keylogger

Inoltre, sono stati identificati due nuovi keylogger, PAKLOG e CorKLOG, utilizzati per monitorare i tasti premuti e i dati degli appunti. La differenza principale tra i due è che CorKLOG memorizza i dati raccolti in un file crittografato e implementa meccanismi di persistenza creando servizi o attività pianificate. Tuttavia, entrambi i keylogger mancano di capacità proprie di esfiltrazione dei dati.

SplatCloak

Infine, SplatCloak è un driver per kernel di Windows che disabilita le routine EDR implementate da Windows Defender e Kaspersky, permettendo agli attacchi di passare inosservati. Questo dimostra l'approccio calcolato di Mustang Panda nel raggiungere i propri obiettivi, con aggiornamenti continui, nuovi strumenti e stratificazioni di offuscamento che prolungano la sicurezza operativa del gruppo e migliorano l'efficacia degli attacchi.