据称来自中国的Mustang Panda行为者被观察到使用一种迄今未见的名为MQsTTang的自定义后门,作为2023年1月开始的持续社会工程活动的一部分。
ESET研究员Alexandre Côté Cyr在一份新报告中说:“与该组织的大多数恶意软件不同,MQsTTang似乎并不基于现有的恶意软件家族或公开可用的项目。”
在俄罗斯去年全面入侵乌克兰之后,该组织精心策划的攻击链已经加强了对欧洲实体的攻击。当前活动的受害者身份尚不清楚,但这家斯洛伐克网络安全公司表示,诱饵文件名与该组织之前针对欧洲政治组织的活动一致。
也就是说,ESET还观察到针对保加利亚和澳大利亚以及台湾政府机构的不明实体的攻击,表明重点放在欧洲和亚洲。
Mustang Panda有使用名为PlugX的远程访问木马来实现其目标的历史,尽管最近的入侵看到该集团扩大其恶意软件武库,包括自定义工具,如TONEINS,TONESHELL和PUBLOAD。
2022年12月,Avast披露了另一组针对缅甸政府机构和政治非政府组织的攻击,这些攻击导致敏感数据外泄,包括电子邮件转储、文件、法庭听证会、审讯报告和会议记录,使用的是名为Hodur的PlugX变体和一个Google Drive上传工具。
更重要的是,一个与威胁行为者相关联的FTP服务器被发现承载了各种以前没有记录的工具,用于向受感染的设备分发恶意软件,包括一个名为JSX的基于Go的木马和一个被称为HT3的复杂后门。
MQsTTang的开发表明了这一趋势的延续,即使它是一个没有任何混淆技术的“准系统”单级后门,允许执行从远程服务器接收的任意命令。
然而,该植入物的一个不寻常的方面是使用了一个名为MQTT的物联网消息协议进行命令和控制(C2)通信,这是用一个名为QMQTT的开源库实现的,QMQTT是Qt跨平台应用程序的MQTT客户端框架。
攻击的初始入侵载体是鱼叉式钓鱼,MQTT通过RAR存档分发,其中包含一个可执行文件,该文件名具有外交主题(例如,“PDF_Passport and CVs of diplomatic members from Tokyo of JAPAN.eXE”)。
“这个新的MQsTTang后门提供了一种远程shell,没有任何与该组织的其他恶意软件家族相关的附加功能,”CôtéCyr说。“但是,这表明Mustang Panda正在为其工具探索新的技术堆栈。”