El actor de amenazas alineado con China conocido como Mustang Panda se ha observado el uso de una versión actualizada de un backdoor llamado TONESHELL y de un gusano USB previamente indocumentado llamado SnakeDisk.
«El gusano solo se ejecuta en dispositivos con direcciones IP basadas en Tailandia y elimina el Yokai puerta trasera», los investigadores de IBM X-Force, Golo Mühr y Joshua Chung dijo en un análisis publicado la semana pasada.
La división de ciberseguridad del gigante tecnológico está rastreando el clúster con el nombre de Hive0154, que también se conoce ampliamente como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus y Twill Typhoon. Se cree que el actor de amenazas patrocinado por el estado ha estado activo al menos desde 2012.
CONCHA TONAL Trend Micro documentó públicamente por primera vez en noviembre de 2022 como parte de los ciberataques contra Myanmar, Australia, Filipinas, Japón y Taiwán entre mayo y octubre. Normalmente se ejecuta mediante la carga lateral de las DLL, y su principal responsabilidad es descargar las cargas útiles de la siguiente fase en el host infectado.
Las cadenas de ataque típicas implican el uso de correos electrónicos de spear-phising para eliminar familias de malware como PUBLOAD o TONESHELL. PUBLOAD, que también funciona de forma similar a TONESHELL, también es capaz de descargar cargas de código de shell mediante solicitudes HTTP POST desde un servidor de comando y control (C2).
Las variantes TONESHELL recientemente identificadas, denominadas TONESHELL8 y TONESHELL9 de IBM X-Force, admiten la comunicación C2 a través de servidores proxy configurados localmente para integrarse con el tráfico de la red empresarial y facilitar dos shells inversos activos en paralelo. También incorpora código basura copiado del sitio web ChatGPT de OpenAI dentro de las funciones del malware para evitar la detección estática y resistirse al análisis.
También se lanza mediante la carga lateral de DLL un nuevo gusano USB llamado SnakeDisk que comparte superposiciones con DISCO DE TONO (también conocido como Wisprider ), otro marco de gusanos USB de la familia TONESHELL. Se utiliza principalmente para detectar dispositivos USB nuevos y existentes conectados al servidor, utilizándolo como medio de propagación.
Concretamente, mueve los archivos existentes en el USB a un nuevo subdirectorio, lo que engaña a la víctima para que haga clic en la carga maliciosa de una nueva máquina al establecer su nombre en el nombre del volumen del dispositivo USB, o «USB.exe». Una vez lanzado el malware, los archivos se copian de nuevo a su ubicación original.
Un aspecto destacable del malware es que está geolocalizado para ejecutarse solo en direcciones IP públicas geolocalizadas en Tailandia. SnakeDisk también sirve para eliminar Yokai, una puerta trasera que configura una consola inversa para ejecutar comandos arbitrarios. Netskope lo detalló anteriormente en diciembre de 2024 en intrusiones dirigidas contra funcionarios tailandeses.
«Yokai muestra superposiciones con otras familias de backdoor atribuidas a Hive0154, como PUBLOAD/PUBSHELL y TONESHELL», afirma IBM. «A pesar de que esas familias son partes de malware claramente independientes, siguen más o menos la misma estructura y utilizan técnicas similares para establecer una conexión inversa con su servidor C2».
El uso de SnakeDisk y Yokai probablemente apunta a un subgrupo dentro del Mustang Panda que está muy centrado en Tailandia, al tiempo que subraya la continua evolución y refinamiento del arsenal del actor de amenazas.
«Hive0154 sigue siendo un actor de amenazas altamente capaz con múltiples subclústeres activos y ciclos de desarrollo frecuentes», concluyó la empresa. «Este grupo parece mantener un ecosistema de malware considerablemente grande, con frecuentes superposiciones tanto en el código malicioso como en las técnicas utilizadas durante los ataques, así como en la segmentación».