Mustang Panda, un grupo de espías alineado con China, lanzó dos campañas dirigidas al gobierno indio y la energía hidroeléctrica, implementando nuevo malware y convirtiendo servicios legítimos en la nube en canales de comando.
La Unidad de Investigación de Amenazas de Acronis descubrió una brecha activa dentro de una red del gobierno indio, incluidas las máquinas utilizadas por el personal directivo superior, y trabajó con CERT-In para notificar y limpiar.
El malware explota Zoho WorkDrive, una plataforma de almacenamiento en la nube popular en los sectores gubernamentales de la India, para pasar comandos y robar datos. Esta es toda la idea. El tráfico parece una actividad normal en la nube, escondido dentro de la red de la que fue robado.
Acronis enumera tres nuevas herramientas.
SHARDLOADER es un cargador que se ejecuta descargando una DLL maliciosa a través de un binario firmado legítimamente, el ejecutable Solid PDF Creator en una campaña y el binario Citrix Receiver en la otra campaña. Se introducirá uno de los dos implantes. MINIRECON es una versión mejorada de la puerta trasera Toneshell documentada por IBM X-Force que ahora envía balizas a través de conexiones WebSocket a través de HTTPS. ZOHOMURK es un producto novedoso. Lleva credenciales Zoho OAuth codificadas y las utiliza para ejecutar una cuenta WorkDrive controlada por un atacante como punto muerto, leyendo comandos de la carpeta Bandeja de entrada y escribiendo resultados robados en la Bandeja de salida.
Ambas campañas llegan como archivos ZIP con archivos DLL maliciosos marcados como ocultos. Acronis cree que se entregaron mediante phishing. La invitación es perfecta para el objetivo. Uno es sobre la propuesta de cooperación hidroeléctrica y el otro sobre el memorando de entendimiento entre instituciones de India y Taiwán.
Acronis dijo que el propósito era proporcionar información sobre los proyectos hidroeléctricos de la India y su relación de defensa con Taiwán. Acronis cree que esta actividad se debe a Mustang Panda.
Este informe incluye una cadena de descarga lateral de Solid PDF Creator reutilizada, duplicación de código con Toneshell, un servidor de comandos que reside en el mismo bloque de red que la infraestructura IBM X-Force asociada con el grupo y un error tipográfico RunOnece que se repite en varios implantes.
La seguridad operativa era débil. Los tokens codificados, los identificadores de texto sin formato y la infraestructura reutilizada ayudaron a los analistas a identificar problemas. La baliza activa funcionó del 12 al 22 de junio de 2026.
Esto continúa con ataques constantes contra objetivos indios. En abril, Acronis vinculó la puerta trasera LOTUSLITE del grupo con ataques al sector bancario indio y a la comunidad política de Corea del Sur, también realizados a través de servicios legítimos en la nube. El amplio interés relacionado con China en el sector energético de la India se remonta aún más atrás. La campaña RedEcho de 2021 utilizó ShadowPad para apuntar a la red eléctrica de la India.
No hay parches para aplicar. Los defensores están detectando vulnerabilidades en la entrega y en la nube. Acronis publicó indicadores y consejos de búsqueda, incluida una clave Ejecutar persistente, una tarea programada denominada SolidPDFPcl2Bmp, Couldinstallup(.)com en el dominio C2 y el agente de usuario de Zoho que se inicia en un proceso sin navegador.
Los gobiernos y las agencias de energía, especialmente aquellos involucrados en transacciones transfronterizas que pueden ser de interés para el gobierno chino, deben tener cuidado con las tentaciones geopolíticas y la transferencia de binarios firmados. Además, marque los procesos que el proceso de punto final que llama a la API de la nube no necesita tocar.
Source link
