Grupa poznata kao Mustang Panda, čije se aktivnosti pripisuju Kini, koristi novootkriveni malver pod nazivom PUBLOAD i alatku Pubshell za sprovođenje sofisticiranih sajber špijunskih kampanja. Ove kampanje su primarno usmjerene na mete u Tibetu i Tajvanu, ciljajući na krađu osjetljivih informacija. Istraživači iz kompanije SentinelOne detaljno su analizirali ovu prijetnju, otkrivajući složenu strategiju napada koja uključuje upotrebu ciljanih spear-phishing imejlova.
Upozorenje o ovoj novoj prijetnji objavljeno je na blogu kompanije SentinelOne. Nailazi se na izvještaje koji ukazuju da Mustang Panda svoju aktivnost nastavlja i u 2024. godini, s posebnim naglaskom na uspostavljanje dugoročnog pristupa sistemima žrtava. Komunikacija s komandno-kontrolnim (C2) serverima odvija se putem različitih protokola, uključujući HTTP, HTTPS, pa čak i DNS, što dodatno otežava otkrivanje i praćenje. PUBLOAD, kao početni malver, koristi se za eksfiltraciju podataka i pružanje daljnjeg pristupa putem ugrađenih modula. Pubshell, pak, služi kao backdoor koji omogućava napadačima da izvršavaju komande na zaraženim sistemima, upravljaju datotekama i instaliraju dodatni zlonamjerni softver.
Metodologija napada tipično započinje slanjem posebno kreiranih imejlova žrtvama. Ovi imejlovi su dizajnirani tako da izgledaju legitimno, često se predstavljajući kao službena komunikacija ili važna obavijest, kako bi namamili korisnika da otvore priloženu datoteku ili kliknu na link. Prilozi su obično u obliku dokumenata koji, kada se otvore, pokreću mehanizam za preuzimanje i izvršavanje PUBLOAD malvera. Zbog svoje specifičnosti i ciljanosti ka određenim organizacijama i pojedincima u regiji, ovi napadi se smatraju visoko rizičnim. Strategija ove grupe se ogleda u strpljivom prodiranju u ciljane mreže, prikupljanju obavještajnih podataka i izbjegavanju ranog otkrivanja, što ukazuje na profesionalan i dobro planiran pristup u sajber špijunaži.
