Los piratas informáticos chinos están cambiando a nuevos malware para ataques gubernamentales.

El grupo de amenaza patrocinado por el estado chino Mustang Panda (también conocido como LuminousMoth, Camaro Dragon, HoneyMyte, y más), ha sido encontrado lanzando campañas de malware contra objetivos de alto valor, incluyendo agencias gubernamentales en Asia.

El grupo utilizó una variante del gusano HIUPAN para entregar malware PUBLOAD en las redes de sus objetivos a través de unidades extraíbles. El gusano HIUPAN movió todos sus archivos a un directorio oculto para ocultar su presencia, y dejó solo un archivo aparentemente legítimo visible (“USBConfig.exe”) para engañar al usuario.

La herramienta PUBLOAD fue utilizada como control principal para la campaña, utilizada para extraer datos y enviarlos al servidor remoto del grupo de amenazas. PTSOCKET era a menudo utilizado como una herramienta alternativa de extracción de datos.

Una historia conocida

Una investigación de TrendMicro describe el avance en la implementación de malware de Mustang Panda, especialmente en el uso contra agencias militares, gubernamentales y educativas en la región de APAC.

Esto es un cambio de los informes recientes de que la organización estaba utilizando variantes de WispRider para ejecutar técnicas de carga lateral de DLL similares a través de unidades USB. Se dice que la campaña anterior infectó dispositivos en todo el mundo, incluidos en el Reino Unido, Rusia e India.

El grupo también fue vinculado a una campaña de spear phishing en junio de este año, demostrando sus capacidades para explotar los servicios en la nube de Microsoft y aprovechar los descargadores de múltiples etapas. El grupo sigue siendo muy activo en el ciberespacio y parece dispuesto a continuar en el futuro previsible.

LEAR  Resumen del martes: México elige a su primera presidenta

Esta es una de las muchos ataques sospechosos patrocinados por el estado chino en tiempos recientes, con campañas contra una variedad de objetivos, incluidos dispositivos gubernamentales rusos comprometidos por ataques de phishing.

Vía BleepingComputer

Más de TechRadar Pro”