La nuova backdoor di Mustang Panda, di matrice cinese, punta a Europa, Asia e Australia 1

La nuova backdoor di Mustang Panda, di matrice cinese, punta a Europa, Asia e Australia

Gli obiettivi confermati in Bulgaria e Australia e si ritiene che siano state prese di mira anche organizzazioni politiche e governative in Europa e in Asia.

Milano, 22 marzo 2023 – I ricercatori di ESET, leader globale nel mercato della cybersecurity, hanno analizzato MQsTTang, una nuova backdoor personalizzata riconducibile al gruppo APT Mustang Panda, affiliato alla Cina. Questa backdoor fa parte di una campagna in corso che, secondo ESET, è iniziata a inizio di gennaio 2023. La telemetria di ESET ha individuato come obiettivi soggetti sconosciuti in Bulgaria e Australia, raccogliendo informazioni che indicano come obiettivo anche un’istituzione governativa di Taiwan. A causa della natura dei nomi dei file esca utilizzati, i ricercatori di ESET ritengono che siano state prese di mira anche organizzazioni politiche e governative in Europa e in Asia. La campagna di Mustang Panda è ancora in corso e il gruppo ha intensificato l’attività in Europa dopo l’invasione dell’Ucraina da parte della Russia.

“A differenza della maggior parte di malware del gruppo, MQsTTang non sembra essere basato su famiglie esistenti o modelli già pubblici”, afferma Alexandre Côté Cyr, ricercatore di ESET che ha individuato la campagna in corso. “Questa nuova backdoor MQsTTang fornisce una sorta di shell remota, senza i vantaggi e gli svantaggi associati alle altre tipologie di malware del gruppo. Tuttavia, dimostra che Mustang Panda sta esplorando nuovi stack tecnologici per i propri programmi”, spiega. “Resta da vedere se questa backdoor diventerà una parte ricorrente del loro repertorio, ma è un ulteriore esempio del rapido ciclo di sviluppo e diffusione del gruppo”, conclude Côté Cyr.

MQsTTang è una backdoor semplice che consente all’aggressore di eseguire comandi arbitrari sul computer della vittima e di catturarne l’output. Il malware utilizza il protocollo MQTT per la comunicazione Command and Control. MQTT è tipicamente utilizzato per la comunicazione tra dispositivi IoT e controller e il protocollo non è stato utilizzato in molte famiglie di malware documentate pubblicamente. MQsTTang viene distribuito in archivi RAR che contengono un solo eseguibile. Questi file hanno solitamente nomi legati alla diplomazia e ai passaporti.

Per ulteriori informazioni sulle tecniche utilizzate da MQsTTang, consultare il post “MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT” su WeLiveSecurity.

Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende.

A proposito di ESET

Da oltre 30 anni, ESET® è leader nello sviluppo di software e servizi di sicurezza IT per proteggere aziende, infrastrutture strategiche e utenti finali in tutto il mondo da minacce digitali sempre più sofisticate. Con soluzioni che spaziano dalla sicurezza di endpoint e dispositivi mobili, alla crittografia e all’autenticazione a due fattori, i prodotti ESET offrono prestazioni elevate e sono facili da usare, proteggono e monitorano in modo discreto 24/7 i propri clienti, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro ed evitare interruzioni alle attività aziendali. Le minacce in continua evoluzione necessitano di un’azienda di sicurezza IT all’avanguardia, che garantisca un uso sicuro della tecnologia, garanzia che viene dai centri di ricerca e sviluppo ESET in tutto il mondo, che lavorano per rendere più sicuro il nostro futuro. Per ulteriori informazioni, visitate www.eset.com o seguite ESET sui nuovi canali italiani di LinkedIn, Facebook e  Twitter.

Translate »