O agente de ameaças alinhado à China, Mustang Panda, também conhecido como Earth Preta, HIVE0154, RedDelta e Bronze President, tem implantado o backdoor ToneShell contra usuários do Windows, visando principalmente entidades governamentais e militares na Ásia-Pacífico e na Europa.
Ativo desde pelo menos 2012, o grupo aproveita e-mails de spear-phishing com iscas com temas militares para entregar arquivos maliciosos, como mustang_panda.zip, contendo um executável conta-gotas (Dropper.exe) que se disfarça como um arquivo PDF corrompido.
Explora o sideload de DLL
Após a execução, as vítimas encontram uma mensagem de erro enganosa: “Erro: Arquivo corrompido – O arquivo PDF está corrompido. Reinicie o computador para tentar novamente”, projetado para distrair enquanto o malware implanta componentes legítimos do Google Chrome para sideload de DLL.
De acordo com o relatório, essa técnica sequestra o ChromePDF.exe, um binário legítimo do Chrome colocado em C:ProgramDataChromePDFBrowser, para carregar um chrome_elf.dll malicioso do subdiretório 101.0.4951.41, falsificando detalhes da versão para evitar a detecção.
A alta atribuição de confiança do malware decorre de TTPs consistentes, incluindo táticas de reutilização e evasão de infraestrutura observadas de março a julho de 2025.
Mustang Panda emprega uma estratégia de persistência redundante para manter o acesso de longo prazo, combinando chaves de execução do registro em HKCUSOFTWAREMicrosoftWindowsCurrentVersion Run com o nome de chave ChromePDFBrowser, apontando para ChromePDF.exe, FreePDF e uma tarefa agendada chamada ChromeBrowser-chromiumim que é executada a cada cinco minutos por meio de comandos schtasks.
Isso garante a reinicialização automática no logon e a execução periódica, reforçando a resiliência contra interrupções.
Aumente a resiliência operacional
O backdoor do ToneShell se comunica por meio de um protocolo TLS criptografado personalizado com o servidor C2 em 218.255.96.245:443, um IP vinculado à HKBN Enterprise Solutions em Hong Kong, com assinaturas de tráfego incluindo 17 03 03 bytes indicativos de dados de aplicativos TLS.
A análise forense de rede revela trocas bidirecionais disfarçadas de HTTPS legítimo para contornar o monitoramento.
A análise da DLL maliciosa (SHA-256: 216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b) mostra que ela importa 118 funções de API do Windows para manipulação de processos (por exemplo, CreateProcessA/W, TerminateProcess), operações de arquivo (por exemplo, WriteFile, FindFirstFileEx), modificações de registro (por exemplo, RegSetValueEx) e execução de shell (por exemplo, ShellExecuteW), permitindo controle abrangente do sistema enquanto imita metadados legítimos do Chrome.
A análise de links revela continuidade operacional, com o IP C2 compartilhado entre DOPLUGS (2024, visando a Ásia-Pacífico), PUBLOAD (2024, com foco em organizações tibetanas) e a atual campanha ToneShell, demonstrando a eficiência do Mustang Panda na reutilização de infraestrutura.
Os artefatos de pré-busca confirmam a cadeia de infecção, desde a execução inicial do conta-gotas (DROPPER.EXE-AF23BC17.pf) envolvendo implantações de arquivos e criação de tarefas até execuções persistentes de ChromePDF.exe (CHROMEPDF.EXE-AD96CF35.pf) via Sideload de DLL.
As oportunidades de detecção incluem consultas do PowerShell para artefatos, regras do Microsoft Defender para cargas e tarefas suspeitas e comportamentos de marcação de regras Sigma, como carregamentos de imagem de caminhos não padrão, criações de processo em ProgramData conhost.exe abuso com parâmetros sem periféricos, configurações de tarefas agendadas e persistência do Registro.
As organizações devem procurar IOCs, bloquear o tráfego C2, auditar registros e implementar sandboxing de e-mail, lista de permissões de aplicativos e monitoramento comportamental para combater esses TTPs alinhados com as técnicas MITRE ATT&CK, como T1574.001 (DLL Side-Loading), T1053.005 (Tarefa Agendada) e T1547.001 (Chaves de Execução do Registro).
Essa evolução destaca a maturidade do Mustang Panda em evasão e persistência, exigindo defesas proativas além das assinaturas.
Indicadores de Comprometimento (IOCs)
| Categoria | Indicador |
|---|---|
| Hashes | 216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b (chrome_elf.dll) c49c686c26845b9ef0913642caff101783663787579fa4432ec4740c8c685e45 (dropper.exe) |
| Rede | 218.255.96.245 (C2) |
| Limas | C:ProgramDataChromePDFBrowserChromePDF.exe C: ProgramData ChromePDFBrowser 101.0.4951.41 chrome_elf.dll |
| Registro | HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunChromePDFBrowser |
| Tarefa agendada | ChromeBrowser-chromiumim |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Download para FrEe