El actor de amenaza alineado en China conocido como Mustang panda se ha observado utilizando una versi贸n actualizada de una puerta trasera llamada Toneshell y un gusano USB previamente indocumentado llamado SnakedIsk.
芦El gusano solo se ejecuta en dispositivos con direcciones IP con sede en Tailandia y deja caer la puerta trasera de Yokai禄, dijeron los investigadores de IBM X-Force Golo M眉hr y Joshua Chung en un an谩lisis publicado la semana pasada.
La divisi贸n de ciberseguridad del gigante tecnol贸gico est谩 rastreando el cl煤ster bajo el nombre Hive0154, que tambi茅n se conoce ampliamente como cuenca, presidente de bronce, drag贸n Camaro, Earth Preta, Honeymyte, Polaris, Reddelta, Taurus majestuoso y Typhoon Twill. Se cree que el actor de amenaza patrocinado por el estado ha estado activo desde al menos 2012.
Toneshell fue documentada p煤blicamente por Trend Micro en noviembre de 2022 como parte de los ataques cibern茅ticos dirigidos a Myanmar, Australia, Filipinas, Jap贸n y Taiw谩n entre mayo y octubre. Por lo general, se ejecuta a trav茅s de la carga lateral de DLL, su responsabilidad principal es descargar cargas 煤tiles de pr贸xima etapa en el host infectado.
Las cadenas de ataque t铆picas implican el uso de correos electr贸nicos de phishing de lanza para lanzar familias de malware como Putoad o Toneshell. Podoad, que tambi茅n funciona de manera similar a Toneshell, tambi茅n es capaz de descargar cargas 煤tiles de shellcode a trav茅s de solicitudes de publicaci贸n HTTP desde un servidor de comando y control (C2).
Las variantes Toneshell recientemente identificadas, llamadas Toneshell8 y Toneshell9 por IBM X-Force, admiten la comunicaci贸n C2 a trav茅s de servidores proxy configurados localmente para combinar con el tr谩fico de red empresarial y facilitar dos capas inversas activas en paralelo. Tambi茅n incorpora c贸digo de basura copiado del sitio web ChatGPT de OpenAI dentro de las funciones del malware para evadir la detecci贸n est谩tica y el an谩lisis de resistencia.
Tambi茅n se lanz贸 con la carga lateral de DLL un nuevo gusano USB llamado Snakedisk que comparte superposiciones con Tonedisk (tambi茅n conocido como Wisprider), otro marco de gusano USB bajo la familia Toneshell. Se utiliza principalmente para detectar dispositivos USB nuevos y existentes conectados al host, utiliz谩ndolo como un medio de propagaci贸n.
Espec铆ficamente, mueve los archivos existentes en el USB a un nuevo subdirectorio, enga帽ando efectivamente a la v铆ctima para que haga clic en la carga 煤til maliciosa en una nueva m谩quina configurando su nombre en el nombre de volumen del dispositivo USB, o 芦USB.EXE禄. Una vez que se inicia el malware, los archivos se copian de nuevo a su ubicaci贸n original.
Un aspecto notable del malware es que est谩 geofencionado para ejecutar solo en direcciones IP p煤blicas geolocadas a Tailandia. Snakedisk tambi茅n sirve como un conducto para soltar Yokai, una puerta trasera que configura un shell inverso para ejecutar comandos arbitrarios. Anteriormente fue detallado por Netskope en diciembre de 2024 en intrusiones dirigidas a funcionarios tailandeses.
芦Yokai muestra superposiciones con otras familias de puerta trasera atribuidas a Hive0154, como Putoad/PubShell y Toneshell禄, dijo IBM. 芦Aunque esas familias son piezas de malware claramente separadas, siguen aproximadamente la misma estructura y usan t茅cnicas similares para establecer un shell inverso con su servidor C2禄.
El uso de Snakedisk y Yokai probablemente apunta a un subgrupo dentro de Mustang Panda que est谩 hiperfociado en Tailandia, al tiempo que subraya la evoluci贸n continua y el refinamiento del arsenal del actor de amenaza.
芦Hive0154 sigue siendo un actor de amenaza altamente capaz con m煤ltiples subclusters activos y ciclos de desarrollo frecuentes禄, concluy贸 la compa帽铆a. 芦Este grupo parece mantener un ecosistema de malware considerablemente grande con superposiciones frecuentes tanto en c贸digo malicioso, t茅cnicas utilizadas durante los ataques, as铆 como la orientaci贸n禄.
