Gli esperti di sicurezza di ESET hanno analizzato il nuovo backdoor personalizzato chiamato MQsTTang, attribuito al gruppo APT Mustang Panda allineato alla Cina. Questo backdoor fa parte di una campagna in corso che ESET può risalire ai primi di gennaio 2023. Secondo le informazioni di ESET, il gruppo Mustang Panda sta mirando a un’istituzione governativa a Taiwan e si sospetta che siano stati presi di mira anche organizzazioni politiche e governative in Europa e Asia, a causa della natura dei nomi dei file esca utilizzati. La campagna è ancora in corso al momento della stesura dell’articolo e il gruppo ha aumentato la sua attività in Europa dopo l’invasione russa dell’Ucraina. Il backdoor MQsTTang sembra essere un nuovo tipo di shell remota senza le caratteristiche di altri malware utilizzati dal gruppo. Tuttavia, dimostra che il gruppo sta esplorando nuove tecnologie per le sue attrezzature. Il backdoor MQsTTang consente all’attaccante di eseguire comandi arbitrari sulla macchina della vittima e di acquisire l’output. Il malware utilizza il protocollo MQTT per la comunicazione di comando e controllo. I file eseguibili contenenti il backdoor MQsTTang sono spesso nominati in modo riferito a temi come la diplomazia e i passaporti e sono distribuiti in archivi RAR contenenti un solo eseguibile. ESET ha riscontrato l’attacco da parte di entità sconosciute in Bulgaria e Australia.
37
Annunci