El actor de amenaza encuadrado en China conocido como Mustang panda se ha observado utilizando una interpretación actualizada de una puerta trasera llamamiento Toneshell y un infame USB previamente indocumentado llamado SnakedIsk.
«El infame solo se ejecuta en dispositivos con direcciones IP con sede en Tailandia y deja caer la puerta trasera de Yokai», dijeron los investigadores de IBM X-Force Golo Mühr y Joshua Chung en un observación publicado la semana pasada.
La división de ciberseguridad del titán tecnológico está rastreando el clúster bajo el nombre Hive0154, que incluso se conoce ampliamente como cuenca, presidente de bronce, dragón Camaro, Earth Preta, Honeymyte, Polaris, Reddelta, Taurus majestuoso y Typhoon Twill. Se cree que el actor de amenaza patrocinado por el estado ha estado activo desde al menos 2012.
Toneshell fue documentada públicamente por Trend Micro en noviembre de 2022 como parte de los ataques cibernéticos dirigidos a Myanmar, Australia, Filipinas, Japón y Taiwán entre mayo y octubre. Por lo común, se ejecuta a través de la carga colateral de DLL, su responsabilidad principal es descargar cargas efectos de próxima etapa en el host infectado.
Las cadenas de ataque típicas implican el uso de correos electrónicos de phishing de bichero para exhalar familias de malware como Putoad o Toneshell. Podoad, que incluso funciona de forma similar a Toneshell, incluso es capaz de descargar cargas efectos de shellcode a través de solicitudes de publicación HTTP desde un servidor de comando y control (C2).
Las variantes Toneshell recientemente identificadas, llamadas Toneshell8 y Toneshell9 por IBM X-Force, admiten la comunicación C2 a través de servidores proxy configurados localmente para combinar con el tráfico de red empresarial y solucionar dos capas inversas activas en paralelo. Igualmente incorpora código de basura copiado del sitio web ChatGPT de OpenAI internamente de las funciones del malware para evitar la detección estática y el observación de resistor.
Igualmente se lanzó con la carga colateral de DLL un nuevo infame USB llamado Snakedisk que comparte superposiciones con Tonedisk (incluso conocido como Wisprider), otro situación de infame USB bajo la grupo Toneshell. Se utiliza principalmente para detectar dispositivos USB nuevos y existentes conectados al host, utilizándolo como un medio de propagación.
Específicamente, mueve los archivos existentes en el USB a un nuevo subdirectorio, engañando efectivamente a la víctima para que haga clic en la carga útil maliciosa en una nueva máquina configurando su nombre en el nombre de prominencia del dispositivo USB, o «USB.EXE». Una vez que se inicia el malware, los archivos se copian de nuevo a su ubicación innovador.
Un aspecto importante del malware es que está geofencionado para ejecutar solo en direcciones IP públicas geolocadas a Tailandia. Snakedisk incluso sirve como un conducto para soltar Yokai, una puerta trasera que configura un shell inverso para ejecutar comandos arbitrarios. Anteriormente fue detallado por Netskope en diciembre de 2024 en intrusiones dirigidas a funcionarios tailandeses.
«Yokai muestra superposiciones con otras familias de puerta trasera atribuidas a Hive0154, como Putoad/PubShell y Toneshell», dijo IBM. «Aunque esas familias son piezas de malware claramente separadas, siguen aproximadamente la misma estructura y usan técnicas similares para establecer un shell inverso con su servidor C2».
El uso de Snakedisk y Yokai probablemente apunta a un subgrupo internamente de Mustang Panda que está hiperfociado en Tailandia, al tiempo que subraya la cambio continua y el refinamiento del astillero del actor de amenaza.
«Hive0154 sigue siendo un actor de amenaza mucho capaz con múltiples subclusters activos y ciclos de mejora frecuentes», concluyó la compañía. «Este orden parece prolongar un ecosistema de malware considerablemente vasto con superposiciones frecuentes tanto en código taimado, técnicas utilizadas durante los ataques, así como la orientación».
