Il gruppo di cyberspionaggio Mustang Panda, attivo da anni e associato ad attività di matrice sino-statale, ha aggiornato il proprio arsenale con una serie di strumenti sofisticati e modulari che mirano a ottenere persistenza invisibile, bypass delle soluzioni EDR e furto sistematico di informazioni. Secondo quanto riportato dagli analisti di Zscaler ThreatLabz, l’organizzazione utilizza nuove varianti dei propri malware storici e introduce componenti avanzati come ToneShell, StarProxy, PAKLOG, CorKLOG e SplatCloak. Questo aggiornamento dell’arsenale conferma una strategia di attacco sempre più specializzata nella penetrazione profonda e duratura nei sistemi compromessi, sfruttando meccanismi di evasione complessi e crittografia mirata.
ToneShell: backdoor silenziosa con funzioni modulari e attivazione personalizzabile
Il componente ToneShell rappresenta una backdoor .NET che viene spesso impiegata come payload finale in campagne spear-phishing o come parte di catene d’infezione più complesse. Gli analisti di Zscaler ne hanno identificato tre varianti principali, ciascuna caratterizzata da un meccanismo di attivazione specifico, utile a evitare sandbox o strumenti di analisi automatica.
La prima variante utilizza un metodo di avvio automatico attraverso chiavi di registro Run, combinato con controlli anti-debug e delay artificiali. La seconda implementa un attivatore basato su process hollowing, in cui un processo legittimo viene iniettato con codice malevolo dopo essere stato sospeso. La terza è ancora più discreta: si attiva solo in presenza di un file “trigger” all’interno di un percorso codificato, rendendola completamente dormiente in ambienti di analisi.
Tutte le varianti condividono una struttura modulare, con supporto per plugin crittografati AES-256 scaricabili da server C2 remoti. Una volta attiva, la backdoor offre funzionalità di accesso remoto, gestione file, controllo dei processi, screenshot, enumerazione di directory e iniezione DLL, ma agisce solo in presenza di comandi specifici, riducendo ulteriormente la possibilità di rilevamento.
StarProxy: tunneling e relay delle comunicazioni attraverso proxy personalizzati
Associato spesso a ToneShell nei pacchetti d’infezione complessi, StarProxy è uno strumento progettato per fornire relay sicuro delle comunicazioni C2, utilizzando protocolli custom e sistemi di tunneling reversibili. Il malware si comporta come un proxy SOCKS5 personalizzato, capace di trasformare un host compromesso in nodo intermedio per la comunicazione con altri sistemi della rete o con ulteriori bot infetti.
La componente principale si basa su una connessione TCP persistente criptata, che instrada il traffico da e verso altri payload o shell remoti, agendo come infrastruttura fantasma. Il suo comportamento suggerisce una topologia a stella, da cui il nome “StarProxy”, dove il nodo centrale può monitorare, duplicare o alterare il traffico senza interrompere la comunicazione tra il target e l’operatore.
Il modulo include funzioni per camuffare il traffico come HTTPS legittimo e bypassare proxy aziendali. Inoltre, dispone di una modalità bridge, che permette l’uso del malware come router per altri sistemi infetti nella stessa rete. La configurazione del proxy può essere aggiornata dinamicamente tramite file crittografati inviati in tempo reale dal C2, consentendo agli attaccanti di modulare la persistenza e la visibilità del canale a seconda dello scenario.
La presenza di StarProxy indica con alta probabilità un attacco mirato di lungo termine, in cui la rete infetta viene trasformata in un’infrastruttura distribuita per la gestione delle operazioni malevole, limitando il ricorso a server pubblici esposti e riducendo i punti di tracciamento possibili da parte dei blue team.
PAKLOG e CorKLOG: keylogger evoluti con targeting selettivo e capacità di compressione stealth
Mustang Panda ha sviluppato due strumenti orientati all’esfiltrazione silenziosa di dati sensibili: PAKLOG e CorKLOG. Entrambi sono keylogger, ma la loro architettura va ben oltre la registrazione passiva di sequenze di tasti.
PAKLOG si distingue per l’integrazione di un modulo di raccolta selettiva, che non registra indiscriminatamente tutto il flusso di input dell’utente, ma attiva la cattura solo in presenza di trigger contestuali: l’apertura di determinati domini (webmail, banking), l’utilizzo di app di messaggistica specifiche o l’inserimento di stringhe che contengono pattern come “@” o “.com”. In questi casi, il malware attiva la raccolta di sequenze di tasti, clipboard, screenshot del focus window e titolo dell’applicazione attiva, codificando tutto in base64 e memorizzandolo in archivi compressi che vengono poi inviati al C2 tramite pacchetti frammentati.
CorKLOG, al contrario, è un keylogger persistente e continuo. È stato progettato per operare in contesti meno controllati, come sistemi legacy, postazioni isolate o ambienti embedded. Il malware si installa nel registro di sistema e può sopravvivere a reboot, disinstallazione parziale e persino ad alcune operazioni di system restore, iniettandosi all’interno di explorer.exe e lsass.exe tramite tecniche di reflective DLL injection.
Il suo punto di forza è la capacità di bypassare le sandbox che rilevano sequenze ripetitive o scrittura eccessiva su file, comportandosi come un processo system benigno fino al momento dell’esfiltrazione. I dati raccolti vengono compressi con algoritmi zlib modificati e cifrati con stream cipher prima della trasmissione. Questo approccio consente alta compressione, cifratura debole ma sufficiente per eludere la maggior parte degli IDS configurati con analisi pattern-based.
La combinazione di PAKLOG e CorKLOG garantisce a Mustang Panda visibilità completa sulla digitazione degli utenti, mantenendo il traffico verso il C2 mimetico e difficilmente rilevabile, soprattutto in contesti in cui i log di rete non vengono archiviati con persistenza o dove mancano sistemi di analisi comportamentale avanzati.
SplatCloak: sabotaggio kernel-level e neutralizzazione attiva delle soluzioni EDR
Il modulo più pericoloso dell’arsenale identificato da Zscaler è SplatCloak, un driver kernel malevolo firmato con certificati rubati e installato tramite UAC bypass. Si tratta di un componente nascosto all’interno di un loader binario, attivato solo dopo che le altre fasi dell’attacco hanno avuto successo, e il sistema è considerato sotto controllo.
SplatCloak opera a livello kernel, consentendo la manipolazione diretta delle strutture di memoria di Windows e l’interazione con i processi del sistema operativo senza generare eventi tracciabili da soluzioni di protezione. Le sue funzionalità principali includono:
- Disabilitazione delle routine di scansione attiva di Windows Defender, intervenendo sulla funzione
MpScanWorkere arrestando i thread relativi alle attività di analisi. - Rimozione dinamica dei handle di processo associati a tool come Process Explorer, GMER, Sysinternals, impedendo di rilevare la presenza del malware.
- Blocco dei driver di protezione come quelli di Kaspersky, ESET e Bitdefender, sfruttando tecniche di unload forzato e sostituzione temporanea dei certificati.
Il driver si autodisinstalla dopo l’infezione oppure rimane in attesa di comandi via named pipes, a seconda della configurazione ricevuta dal server C2. I file temporanei associati a SplatCloak sono collocati in directory poco monitorate (C:\ProgramData\SystemCache) e sono cancellati una volta completata l’operazione.
La presenza di un driver kernel con queste funzionalità evidenzia una maturità tecnica elevata, e indica l’intento di Mustang Panda di operare non solo a scopo di esfiltrazione, ma anche per creare ambienti di attacco persistente in cui eventuali misure di sicurezza installate post-compromissione risultino inefficaci.
Una minaccia multilivello pensata per penetrazione profonda e persistenza operativa
L’analisi dell’arsenale aggiornato di Mustang Panda evidenzia un’evoluzione nella strategia offensiva del gruppo, basata su stratificazione e specializzazione dei moduli, pensati per operare in armonia, in fasi distinte e con capacità complementari. ToneShell stabilisce la presenza. StarProxy garantisce comunicazione invisibile. PAKLOG e CorKLOG catturano l’input con precisione chirurgica. SplatCloak neutralizza la risposta difensiva.
Questa struttura modulare consente a Mustang Panda di adattarsi rapidamente all’ambiente target, persistere in contesti protetti e ridurre il rischio di rilevamento anche durante le fasi di infezione attiva. Gli strumenti individuati mostrano anche un significativo investimento in evasione comportamentale, cifratura dinamica e targeting contestuale, con una chiara attenzione alla compatibilità su sistemi Windows 10 e Windows Server 2019, molto diffusi nel settore pubblico e in ambienti diplomatici.
Per contrastare minacce di questo livello, è necessario adottare un paradigma difensivo proattivo, basato su:
- monitoraggio continuo a livello kernel e user-space
- analisi comportamentale di medio periodo
- rilevazione delle anomalie nella gestione dei handle di processo e dei moduli DLL
L’uso esclusivo di antivirus tradizionali e firewall non è più sufficiente: solo l’integrazione di soluzioni XDR, l’analisi semantica del traffico C2 e una segmentazione rigorosa delle reti può ostacolare operazioni complesse come quelle orchestrate da Mustang Panda.
