Um marco significativo para especialistas em segurança cibernética é a divulgação de táticas, métodos e procedimentos específicos (TTPs) usados pelo Mustang Panda, um grupo de ameaça persistente avançado (APT) baseado na China, que iluminou suas intrincadas atividades.
Observou pela primeira vez em 2017, mas potencialmente ativo desde 2014, Mustang Panda é um ator patrocinado pelo Estado especializado em espionagem cibernética, visando entidades governamentais, organizações sem fins lucrativos, organizações religiosas e ONGs entre regiões, incluindo EUA, Europa, Mongólia, Mianmar, Pakistão e Vietnã.
A marca registrada do grupo envolve a coleta de inteligência de longo prazo por meio de campanhas de phishing de lança altamente personalizadas que exploram iscas geopolíticas ou de língua local para implantar cargas úteis de malware em vários estágios.
Ao longo dos anos, eles utilizaram ferramentas como Plugx, Poison Ivy, Toneshell, Publhoad e famílias emergentes como FDMTP e PTSocket, todas projetadas para contornar as defesas do endpoint.
Um incidente notável no início de 2025 destacou seu impacto global quando o Departamento de Justiça dos EUA e as autoridades francesas desmontaram infecções por Plugx em mais de 4.200 dispositivos distribuídos por unidades USB maliciosas, demonstrando Mustang Panda’s troca adaptável e ameaça persistente à segurança internacional.
Análise aprofundada da execução
As estratégias de execução do Mustang Panda, alinhadas com miter ATT & CK TA0007, apresentam anexos de spearphishing sob T1566.001, onde os arquivos maliciosos do Windows LNK se disfarçam de documentos benignos como Word ou PDFs.
Após a interação do usuário, esses arquivos acionam a execução do comando para iniciar cargas úteis, imitando binários confiáveis, como a geração de winver.exe como um chamariz para evitar suspeitas.
Simulações de plataformas de segurança como o picus replique isso iniciando cadeias de processo começando com o cmd.exe executando um arquivo LNK disfarçado, seguido de lançamentos executáveis benignos, testando a eficácia do detecção de terminais.
Da mesma forma, sob o T1218.007, o grupo abusa de msiexec.exe para execução da terra, implantando Pacotes MSI maliciosos No modo silencioso de diretórios temporários, um pique de tática emula com comandos como msiexec.exe /q /i “%tmp% in.sys” para validar defesas contra quedas de carga útil furtiva.
Para carregamento lateral da DLL (T1574.002), os adversários exploram binários confiáveis como mpdlpcmd.exe, colocando DLLs maliciosos em caminhos de pesquisa, com simulações de picus lançando o binário e buscando arquivos laterais para avaliar os recursos de monitoramento.
Transição para persistência sob o TA0003, o Mustang Panda alavanca as chaves de execução do registro (T1547.001) adicionando entradas enganosas como “WindowsdefenderUpdater” em colméias HKLM, executando ferramentas como cmstp.exe na startup; O PICUS testa isso via Reg Add comandos.
Tarefas programadas (T1053.005) são criadas com nomes enganosos como “InetlSecurityAssistManager” usando schtasks.exe para executar scripts periodicamente, enquanto os novos serviços do Windows (T1543.003) como “regulamento” são configurados para o auto-start com o PowerShell Payloads, allmulled by simulout by Sobrot para o PICUS para o PICUS para que o PICUST para que o PICUST para o PICUST para o PICUST para que o PICUSTELT para o PICUST para que o PICUSTELT para o PICUST para que o Picus é o PICUST para que o PICUST para que o PICUSTELT para o PICUST para que o Picus de Picus de Picus de Picus de Picus de PowerShell é o que é possível, para que o Picus de Sondret.
Técnicas de coleta de dados
Na evasão de defesa (TA0005), o Mustang Panda emprega manipulação de token e injeção de processo (T1134.002) injetando codificado no werfault.exe para escalada de privilégios, simulada através do bloco de notas.
O acesso de credenciais (TA0006) envolve dumping de memória LSASS (T1003.001) usando ferramentas como SharpDump ou Mimikatz para extrair hashes e tickets, com picus executando invocações benignas para testar alertas sem exposição a dados.
De acordo com o relatórioAs táticas de descoberta (TA0007) incluem a coleta de configurações de rede via comandos Ipconfig, ARP, Route e SystemInfo, juntamente com as consultas WMI para detecção e enumeração de disco antivírus e ferramentas do tipo Adfind para reconhecimento do Active Directory.
Enumeração de log (T1654) ID do evento 4624 via wevtutil.exe para insights de atividade do usuário. Para a coleta (TA0009), as capturas de tela são realizadas com binários .NET salvando imagens como ScreenShot.jpg, KeyLogging abusa da API GetasynckeyState () e o arquivamento de dados usa Winrar para arquivos RAR criptografados com senhas fortes, todas replicadas em simulações controladas.
Esses TTPs vazados ressaltam a necessidade de configurações de extremidade robustas e SIEM para combater os ataques furtivos e multifacetados de Mustang Panda, enfatizando testes de simulação proativos para maior resiliência.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!