Onderzoekers van ESET hebben net MQsTTang geanalyseerd, een nieuwe aangepaste backdoor die ze toeschrijven aan Mustang Panda, de aan China gelinkte APT-groep. Deze backdoor maakt deel uit van een lopende campagne die ESET tot begin januari 2023 kon terugvinden. ESET Research zag in zijn telemetrie onbekende entiteiten in Bulgarije en Australië die een doelwit zijn.
· Onderzoekers van ESET hebben MQsTTang geanalyseerd, een nieuwe aangepaste backdoor die ze toeschrijven aan de aan China gelinkte Mustang Panda APT-groep.
· Bevestigde doelwitten zijn in Bulgarije en Australië en waarschijnlijk ook in Taiwan.
· Door de aard van de gebruikte namen voor het lokbestand, denken de onderzoekers dat politieke en gouvernementele organisaties in Europa en Azië het doelwit zijn.
· De malware gebruikt het MQTT-protocol voor Command and Control-communicatie. MQTT wordt typisch gebruikt voor communicatie tussen Internet of Things (IoT)-apparaten en controllers. Dit protocol wordt nagenoeg niet gebruikt in openbaar gedocumenteerde malwarefamilies.
· MQsTTang wordt gedistribueerd in RAR-archieven die slechts één uitvoerbaar bestand bevatten. Deze bestanden hebben meestal namen die betrekking hebben tot diplomatie en paspoorten.
BRATISLAVA, MONTREAL — 3 maart 2023 — Onderzoekers van ESET hebben net MQsTTang geanalyseerd, een nieuwe aangepaste backdoor die ze toeschrijven aan Mustang Panda, de aan China gelinkte APT-groep. Deze backdoor maakt deel uit van een lopende campagne die ESET tot begin januari 2023 kon terugvinden. ESET Research zag in zijn telemetrie onbekende entiteiten in Bulgarije en Australië die een doelwit zijn.
ESET heeft ook informatie waaruit blijkt dat Mustang Panda een overheidsinstelling in Taiwan als doelwit heeft. Door de aard van de gebruikte namen voor het lokbestand, denkt ESET dat politieke en gouvernementele organisaties in Europa en Azië ook een doelwit zijn. Op het ogenblik dat deze tekst geschreven wordt loopt de Mustang Panda-campagne nog steeds. De groep heeft zijn activiteiten in Europa uitgebreid sinds de Russische invasie in Oekraïne.
“In tegenstelling tot de meeste malware van de groep, lijkt MQsTTang niet gebaseerd op bestaande families of openbaar beschikbare projecten”, zegt ESET-onderzoeker Alexandre Côté Cyr, die de lopende campagne ontdekte. “Deze nieuwe MQsTTang backdoor biedt een soort externe bescherming zonder de toeters en bellen die bij de andere malwarefamilies van de groep horen. Het laat zien dat Mustang Panda voor zijn tools nieuwe technologieën verkent”, voegt hij eraan toe. “Het valt nog te zien of deze backdoor een terugkerend onderdeel van hun arsenaal zal worden, maar het is een voorbeeld van de snelle ontwikkelings- en implementatiecyclus van de groep”, concludeert Côté Cyr.
Op basis van zijn telemetrie kan ESET Research bevestigen dat onbekende entiteiten in Bulgarije en Australië doelwitten zijn zoals ook een overheidsinstelling in Taiwan. De slachtofferrol is onduidelijk, maar de misleidende bestandsnamen doen ESET geloven dat politieke en gouvernementele organisaties in Europa en Azië ook het doelwit zijn. Dit zou ook overeenstemmen met de doelwitten van de laatste campagnes van de groep.
MQsTTang is een barebone backdoor waarmee de aanvaller willekeurige opdrachten kan uitvoeren op de machine van een slachtoffer en de output ervan verkrijgen. De malware gebruikt het MQTT-protocol voor Command-and-Control-communicatie. MQTT wordt doorgaans gebruikt voor communicatie tussen IoT-apparaten en controllers en het protocol is niet vaak gebruikt in openbaar gedocumenteerde malwarefamilies.
MQsTTang wordt gedistribueerd in RAR-archieven die slechts één uitvoerbaar bestand bevatten. Deze uitvoerbare bestanden hebben vaak bestandsnamen die verband houden met diplomatie en paspoorten.
Voor meer technische informatie over MqsTTang, lees de blog “MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT” op WeLiveSecurity. Volg zeker ook ESET Research on Twitter voor de nieuwste info over ESET Research.
