ESET Research ontdekt dat Mustang Panda, de cyberspionagegroep achter deze dreiging, zich richt op overheidsinstanties en NGO’s in Oost- en Zuidoost-Azië en in sommige landen in Europa en Afrika.
· Deze campagne dateert ten minste van augustus 2021 en loopt nu nog in maart 2022.
· Mustang Panda, de APT-groep achter de campagne, richt zich voornamelijk op regeringen en NGO’s. De meeste slachtoffers zijn in Oost- en Zuidoost-Azië, maar een paar zijn in Europa (Griekenland, Cyprus, Rusland) en Afrika (Zuid-Afrika, Zuid-Soedan).
· Bekende slachtoffers zijn onder meer onderzoeksinstellingen, internetserviceproviders en Europese diplomatieke missies.
· De compromisketen bevat regelmatig bijgewerkte lokdocumenten met betrekking tot gebeurtenissen in Europa en de oorlog in Oekraïne.
· De campagne gebruikt een aangepaste lader om Hodur uit te voeren, een nieuwe variant van Korplug.
· Elke fase van het implementatieproces maakt gebruik van anti-analyse- en controle-stroomverduisteringstechnieken, waardoor het zich onderscheidt van andere campagnes.
BRATISLAVA, MONTREAL — 23 maart 2022 — ESET Research heeft een cyberspionagecampagne ontdekt met een voorheen niet gedocumenteerde Korplug-variant van de Mustang Panda APT-groep. De huidige campagne maakt gebruik van de oorlog in Oekraïne en andere Europese hot topics. Bekende slachtoffers zijn onder meer onderzoeksinstellingen, ISP’s en Europese diplomatieke missies die voornamelijk in Oost- en Zuidoost-Azië zijn gevestigd. ESET-onderzoekers noemden deze nieuwe variant van Korplug ‘Hodur’ vanwege de gelijkenis met de THOR-variant die in 2020 is gedocumenteerd. In de Noorse mythologie is Hodur de blinde halfbroer van Thor.
De slachtoffers van deze campagne worden wellicht gelokt door phishing-documenten die misbruik maken van de jongste gebeurtenissen in Europa, zoals de invasie van Oekraïne. Volgens het Hoge Commissariaat voor de Vluchtelingen zorgde de invasie ervoor dat al meer dan drie miljoen inwoners (three million residents) de oorlog ontvluchtten naar buurlanden, wat resulteerde in een ongekende crisis aan de grenzen van Oekraïne. Een van de bestandsnamen die verband houden met deze campagne is “EU-grenssituatie met Oekraïne.exe“.
Andere phishing-lokmiddelen vermelden bijgewerkte COVID-19-reisbeperkingen, een kaart met goedgekeurde regionale steun voor Griekenland en een verordening van het Europees Parlement en de Europese Raad. Het nieuwste lokmiddel is een echt document dat beschikbaar is op de website van de Europese Raad. Hieruit blijkt dat de groep achter deze campagne het nieuws volgt en succesvol en snel erop kan reageren.
“Op basis van codeovereenkomsten en heel wat overeenkomsten in tactiek, technieken en procedures, schrijven ESET-onderzoekers deze campagne met zekerheid toe aan Mustang Panda, bekend als TA416, RedDelta of PKPLUG, cyberspionage die zich voornamelijk richt op overheidsinstanties en NGO’s”, zegt Alexandre Côté Cyr, malware onderzoeker bij ESET, die Hodur ontdekte. De slachtoffers van de Mustang Panda bevinden zich voornamelijk, maar niet uitsluitend, in Oost-Azië. De groep staat ook bekend om zijn campagne gericht op het Vaticaan in 2020 (campaign targeting the Vatican in 2020).
Hoewel de ESET-onderzoekers niet alle slachtoffers konden identificeren, lijkt de campagne dezelfde doelwitten te hebben als andere Mustang Panda-campagnes. Volgens de typische APT-victimology bevinden de meeste slachtoffers zich in Oost- en Zuidoost-Azië, alsook in Europese en Afrikaanse landen. Volgens ESET-telemetrie bevinden de meeste doelwitten zich in Mongolië en Vietnam, gevolgd door Myanmar, met enkele in andere landen, zoals Griekenland, Cyprus, Rusland, Zuid-Soedan en Afrika vanuit het zuiden. De geïdentificeerde verticals zijn onder meer diplomatieke missies, onderzoekentiteiten en ISP’s.
De campagnes van Mustang Panda gebruiken vaak aangepaste laders voor gedeelde malware, waaronder Cobalt Strike, Poison Ivy en Korplug (ook bekend als PlugX). De groep is ook bekend voor het creëren van hun eigen Korplug-variaties. “Vergeleken met andere campagnes die Korplug gebruiken, maakt elke stap van het implementatieproces gebruik van anti-analyse- en technieken voor controlestroomverduistering, wat het voor ons malware-onderzoekers moeilijker maakt om te onderzoeken”, besluit Côté Cyr.
Lees voor diepgaande technische analyse de blog op www.welivesecurity en volg ESET Research on Twitter voor de nieuwste info over ESET Research.