La Chine et les Philippines confrontées à une cyberattaque orchestrée par Mustang Panda

L’unité 42 de Palo Alto Networks a attribué à ce collectif d’adversaires trois campagnes menées en août 2023, ciblant principalement des organisations du Pacifique Sud.

« Les campagnes se sont appuyées sur des logiciels légitimes, notamment Solid PDF Creator et SmadavProtect (une solution antivirus basée en Indonésie), pour charger des fichiers malveillants de manière latérale », a déclaré l’entreprise.

« Les auteurs de la menace ont également configuré de manière créative les logiciels malveillants pour qu’ils se fassent passer pour du trafic Microsoft légitime afin d’établir des connexions de commande et de contrôle (C2).

Mustang Panda, également repéré sous les noms de Bronze President, Camaro Dragon, Earth Preta, RedDelta et Stately Taurus, est considéré comme une menace persistante avancée (APT) chinoise active depuis au moins 2012, orchestrant des campagnes de cyberespionnage ciblant des organisations non gouvernementales (ONG) et des organismes gouvernementaux en Amérique du Nord, en Europe et en Asie.

Fin septembre 2023, l’Unité 42 a également impliqué l’acteur de la menace dans des attaques visant un gouvernement anonyme d’Asie du Sud-Est afin de distribuer une variante d’une porte dérobée appelée TONESHELL.

Les dernières campagnes s’appuient sur des courriels de spear-phishing pour diffuser un fichier d’archive ZIP malveillant qui contient une bibliothèque de liens dynamiques (DLL) malveillante lancée à l’aide d’une technique appelée DLL side-loading (chargement latéral de DLL). La DLL établit ensuite un contact avec un serveur distant. On estime que l’entité gouvernementale philippine a probablement été compromise au cours d’une période de cinq jours entre le 10 et le 15 août 2023. L’utilisation de SmadavProtect est une tactique connue adoptée par Mustang Panda au cours des derniers mois, ayant déployé des logiciels malveillants expressément conçus pour contourner la solution de sécurité. « Stately Taurus continue de démontrer sa capacité à mener des opérations de cyberespionnage persistantes en tant que l’un des APT chinois les plus actifs », ont déclaré les chercheurs, « Ces opérations ciblent une variété d’entités dans le monde entier qui s’alignent sur les sujets géopolitiques d’intérêt pour le gouvernement chinois ». Cette révélation intervient alors qu’un acteur APT sud-coréen nommé Higaisa a été découvert en train de cibler des utilisateurs chinois par le biais de sites web de phishing imitant des applications logicielles bien connues telles qu’OpenVPN. « Une fois exécuté, le programme d’installation dépose et exécute un logiciel malveillant basé sur Rust sur le système, déclenchant ensuite un shellcode », a déclaré Cyble à la fin du mois dernier. « Le shellcode effectue des opérations d’anti-débogage et de décryptage. Il établit ensuite une communication chiffrée de commande et de contrôle (C&C) avec l’acteur de la menace (TA) distant ». Découvrez comment la réponse de détection d’application et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internesParticipez à la conversation sur la lutte contre les attaques Zenbleed KubernetesInscrivez-vous gratuitement pour recevoir une dose quotidienne d’informations et de conseils sur la cybersécurité.