Grupa poznata kao Mustang Panda, aktivna od 2012. godine, izmijenila je svoje metode kako bi usmjerila napade na organizacije u Tibetu, kao i na one koje se bave tibetanskim pitanjima, uz prisutnost u Tajvanu. Ova napredna uporna prijetnja (APT) koristi sofisticirani malver, nazvan PUBLOAD i Pubshell, za provođenje cyber špijunaže. Istraživači iz SentinelOne otkrili su ovu ciljanu kampanju, koja je otkrila ranije nepoznate alate i metode koje koristi Mustang Panda.
Mustang Panda je poznata po izvođenju spear-phishing napada, a njihova najnovija kampanja nije izuzetak. Početni vektor napada uključuje slanje ciljanih e-poruka potencijalnim žrtvama, koje često sadrže privitke ili linkove dizajnirane da zaraze sistem žrtve. Ove e-poruke su pažljivo kreirane kako bi izgledale legitimno, često se pretvarajući da dolaze od pouzdanih izvora, s ciljem da prevare primaoca da otvori zaraženi materijal.
Kada se izvrši, PUBLOAD malver obezbjeđuje početni pristup sistemu žrtve. Nakon toga, ovaj malver djeluje kao alat za preuzimanje i izvršavanje, sposoban da preuzme i pokrene dodatne zlonamjerne module, uključujući Pubshell. Pubshell je daljinski pristupni trojanac (RAT) koji omogućava napadačima da preuzmu potpunu kontrolu nad kompromitovanim sistemom. Putem Pubshell-a, Mustang Panda može krasti osjetljive podatke, špijunirati korisnike, pratiti njihove aktivnosti i potencijalno se kretati bočno unutar mreže žrtve.
Analiza SentinelOne pokazala je da je PUBLOAD dizajniran za prikupljanje informacija o sistemu i slanje ih na server pod kontrolom napadača. Također je sposoban za izvršavanje komandi, što mu omogućava da djeluje kao pokretač za sofisticiranije malver kao što je Pubshell. Ova dvofazna strategija omogućava Mustang Panda da održi niski profil dok prikuplja početne informacije, prije nego što pokrene potpuniji napad.
Prisutnost malvera sa fokusom na tibetanska pitanja naglašava političku motivaciju iza napada ove grupe. Mustang Panda je ranije bila povezana s aktivnostima koje su imale za cilj obavještajne službe i potkopavanje organizacija povezanih s Kinom i njezinim susjedima. Ciljajući tibetanske organizacije i one koje se bave tibetanskim pitanjima, grupa nastavlja svoju strategiju cyber špijunaže usmjerene na geografske regije i teme od strateškog značaja.
Upozorenje SentinelOne naglašava potrebu za povećanom budnošću od strane organizacija koje djeluju u ili se bave tibetanskim pitanjima. Preporučuju se standardne sigurnosne prakse, uključujući redovna ažuriranja softvera, korištenje robusnih antivirusnih rješenja, obuku zaposlenika o prepoznavanju i prijavljivanju phishing napada, te implementaciju snažnih kontrola pristupa. Razumijevanje metodologije koju koristi Mustang Panda ključno je za efikasno odbranu od njihovih kontinuiranih napora. Ova kampanja služi kao oštar podsjetnik na stalnu prijetnju od APT grupa i važnost održavanja snažnog stava u cyber sigurnosti.
