کرم USB SnakeDisk

گروه تهدید همسو با چین که با نام Mustang Panda شناخته می‌شود، ابزارهای جدیدی را در کمپین‌های جاسوسی سایبری خود به کار گرفته است. محققان اخیراً استفاده از یک درب پشتی ارتقا یافته TONESHELL را در کنار یک کرم USB ناشناخته به نام SnakeDisk مستند کرده‌اند. هر دو مورد، اعتبار این گروه را به عنوان یکی از سرسخت‌ترین دشمنان تحت حمایت دولت تقویت می‌کند.

چه کسی پشت این حملات است؟

کارشناسان امنیت سایبری این فعالیت را تحت خوشه Hive0154، نامی فراگیر که با Mustang Panda گره خورده است، زیر نظر دارند. این خوشه همچنین با نام‌های مستعار مختلفی از جمله BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، Polaris، RedDelta، Stately Taurus و Twill Typhoon شناخته می‌شود.

شواهد نشان می‌دهد که موستانگ پاندا حداقل از سال ۲۰۱۲ فعال بوده و عملیات جاسوسی را به نمایندگی از منافع دولت چین انجام داده است.

SnakeDisk: یک کرم یو‌اس‌بی مخفی

SnakeDisk یک کرم تازه شناسایی شده است که از طریق بارگذاری جانبی DLL پخش می‌شود. این کرم به خانواده بدافزار TONESHELL تعلق دارد و همپوشانی‌های آشکاری با یک چارچوب کرم USB دیگر به نام TONEDISK (معروف به WispRider) نشان می‌دهد.

قابلیت‌های اصلی آن شامل موارد زیر است:

• نظارت بر دستگاه‌های USB متصل برای یافتن فرصت‌های انتشار.
• انتقال فایل‌های USB موجود به یک زیرشاخه مخفی، و سپس جایگزینی آنها با یک فایل اجرایی مخرب که خود را به شکل نام درایو دستگاه یا صرفاً USB.exe جا زده است.
• بازیابی فایل‌های اصلی پس از فعال شدن بدافزار در سیستم جدید، سوءظن را کاهش می‌دهد.

یکی از ویژگی‌های قابل توجه، تعیین محدوده جغرافیایی (geofencing) آن است: SnakeDisk فقط روی دستگاه‌هایی با آدرس‌های IP مستقر در تایلند اجرا می‌شود و دامنه هدف‌گیری آن را محدود می‌کند.

Yokai: در پشتی که توسط SnakeDisk ارائه شده است

SnakeDisk به عنوان یک مکانیزم توزیع برای Yokai عمل می‌کند، یک در پشتی که یک پوسته معکوس برای اجرای دستورات دلخواه ایجاد می‌کند. Yokai که اولین بار در دسامبر ۲۰۲۴ گزارش شد، به کمپین‌هایی علیه مقامات تایلندی مرتبط بود.

این بدافزار شباهت‌های فنی با سایر خانواده‌های درب پشتی منتسب به Hive0154، از جمله PUBLOAD/PUBSHELL و TONESHELL، دارد. اگرچه این خانواده‌ها گونه‌های جداگانه‌ای هستند، اما از ساختارها و تکنیک‌های مشابهی برای ارتباط با سرورهای فرمان و کنترل (C2) استفاده می‌کنند.

تمرکز استراتژیک بر تایلند

قوانین هدف‌گیری تعبیه‌شده در SnakeDisk و استقرار Yokai قویاً نشان می‌دهد که یک زیرگروه Mustang Panda به شدت بر تایلند تمرکز دارد. این موضوع به یک استراتژی اصلاح‌شده و عملیات‌های سفارشی در جنوب شرقی آسیا اشاره دارد.

یک اکوسیستم بدافزاری گسترده و در حال تکامل

Hive0154 به خاطر توانایی‌اش در حفظ یک اکوسیستم بدافزاری بزرگ و به هم پیوسته، برجسته است. عملیات آن نشان می‌دهد:

• همپوشانی‌های مکرر در کدهای مخرب و تکنیک‌های حمله.
• آزمایش‌های مداوم با زیرخوشه‌ها و بدافزارهای تخصصی.
• سرعت ثابت چرخه‌های توسعه، که نشان‌دهنده‌ی سازگاری است.

زرادخانه در حال تکامل موستانگ پاندا، تعهد بلندمدت این عامل تهدید را برای پیشبرد قابلیت‌های جاسوسی خود و در عین حال تشدید تمرکز منطقه‌ای آن، برجسته می‌کند.