SnakeDisk USB Worm
L'autore di minacce informatiche affiliato alla Cina, noto come Mustang Panda, ha implementato nuovi strumenti nelle sue campagne di cyber-spionaggio. I ricercatori hanno recentemente documentato l'utilizzo di una backdoor TONESHELL aggiornata insieme a un worm USB precedentemente sconosciuto, denominato SnakeDisk. Entrambe le aggiunte rafforzano la reputazione del gruppo come uno degli avversari più persistenti sponsorizzati da stati.
Sommario
Chi c'è dietro gli attacchi?
Gli esperti di sicurezza informatica stanno monitorando questa attività nell'ambito del cluster Hive0154, un nome generico legato a Mustang Panda. Questo cluster è noto anche con diversi alias, tra cui BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus e Twill Typhoon.
Le prove indicano che Mustang Panda è attiva almeno dal 2012, dove conduce operazioni di spionaggio per conto degli interessi dello Stato cinese.
SnakeDisk: un worm USB furtivo
SnakeDisk è un worm recentemente identificato che si diffonde tramite il sideloading di DLL. Appartiene alla famiglia di malware TONESHELL e mostra evidenti sovrapposizioni con un altro framework di worm USB, TONEDISK (noto anche come WispRider).
Le sue principali capacità includono:
- Monitoraggio dei dispositivi USB collegati per individuare opportunità di propagazione.
- Spostamento dei file USB esistenti in una sottodirectory nascosta, quindi sostituzione con un eseguibile dannoso camuffato da nome del volume del dispositivo o semplicemente USB.exe.
- Ripristinare i file originali una volta che il malware viene attivato su un nuovo sistema, riducendo i sospetti.
Una caratteristica sorprendente è il geofencing: SnakeDisk funziona solo su dispositivi con indirizzi IP basati in Thailandia, restringendo così il suo raggio di azione.
Yokai: The Backdoor distribuito da SnakeDisk
SnakeDisk funge da meccanismo di distribuzione per Yokai, una backdoor che imposta una reverse shell per eseguire comandi arbitrari. Segnalato per la prima volta nel dicembre 2024, Yokai era collegato a campagne contro funzionari thailandesi.
Il malware condivide somiglianze tecniche con altre famiglie di backdoor attribuite a Hive0154, tra cui PUBLOAD/PUBSHELL e TONESHELL. Pur essendo ceppi distinti, queste famiglie utilizzano strutture e tecniche simili per comunicare con i server di comando e controllo (C2).
Focus strategico sulla Thailandia
Le regole di targeting integrate in SnakeDisk e l'impiego di Yokai suggeriscono fortemente che un sottogruppo di Mustang Panda si stia concentrando pesantemente sulla Thailandia. Ciò indica una strategia raffinata e operazioni mirate nel Sud-est asiatico.
Un vasto ecosistema di malware in continua evoluzione
Hive0154 si distingue per la sua capacità di gestire un vasto ecosistema di malware interconnesso. Le sue attività dimostrano:
- Frequenti sovrapposizioni tra codice dannoso e tecniche di attacco.
- Sperimentazione in corso con sottocluster e malware specializzati.
- Un ritmo costante dei cicli di sviluppo, che evidenzia l'adattabilità.
L'arsenale in continua evoluzione di Mustang Panda sottolinea l'impegno a lungo termine dell'autore della minaccia nel migliorare le proprie capacità di spionaggio, affinando al contempo la propria attenzione regionale.
