SnakeDisk USB-orm
Den Kina-tilknyttede trusselaktøren kjent som Mustang Panda har rullet ut nye verktøy i sine cyberspionasjekampanjer. Forskere har nylig dokumentert bruken av en oppgradert TONESHELL-bakdør sammen med en tidligere ukjent USB-orm kalt SnakeDisk. Begge tilleggene forsterker gruppens rykte som en av de mest vedvarende statsstøttede motstanderne.
Innholdsfortegnelse
Hvem står bak angrepene?
Nettsikkerhetseksperter overvåker denne aktiviteten under klyngen Hive0154, et paraplynavn knyttet til Mustang Panda. Denne klyngen er også kjent under flere alias, inkludert BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus og Twill Typhoon.
Bevis tyder på at Mustang Panda har vært aktiv siden minst 2012, og utført spionasjefokuserte operasjoner på vegne av kinesiske statlige interesser.
SnakeDisk: En snikende USB-orm
SnakeDisk er en nylig identifisert orm som sprer seg gjennom DLL-sidelasting. Den tilhører TONESHELL-skadevarefamilien og viser klare overlapp med et annet USB-ormrammeverk, TONEDISK (også kjent som WispRider).
Hovedfunksjonene inkluderer:
- Overvåking av tilkoblede USB-enheter for spredningsmuligheter.
- Flytter eksisterende USB-filer til en skjult underkatalog, og erstatter dem deretter med en ondsinnet kjørbar fil forkledd som enhetens volumnavn eller bare USB.exe.
- Gjenoppretting av de originale filene når skadevaren er utløst på et nytt system, noe som reduserer mistanke.
En slående funksjon er geofencing: SnakeDisk kjører bare på enheter med thailandske IP-adresser, noe som begrenser målrettingsområdet.
Yokai: Bakdøren levert av SnakeDisk
SnakeDisk fungerer som en leveringsmekanisme for Yokai, en bakdør som setter opp et omvendt skall for å kjøre vilkårlige kommandoer. Yokai, som først ble rapportert i desember 2024, ble knyttet til kampanjer mot thailandske tjenestemenn.
Skadevaren deler tekniske likheter med andre bakdørsfamilier som tilskrives Hive0154, inkludert PUBLOAD/PUBSHELL og TONESHELL. Selv om disse familiene er separate stammer, bruker de sammenlignbare strukturer og teknikker for å kommunisere med kommando- og kontrollservere (C2).
Strategisk fokus på Thailand
Målrettingsreglene som er innebygd i SnakeDisk og utplasseringen av Yokai tyder sterkt på at en Mustang Panda-undergruppe konsentrerer seg sterkt om Thailand. Dette peker mot en raffinert strategi og skreddersydde operasjoner i Sørøst-Asia.
Et enormt og utviklende økosystem for skadelig programvare
Hive0154 skiller seg ut for sin evne til å opprettholde et stort, sammenkoblet økosystem for skadelig programvare. Driften demonstrerer:
- Hyppige overlappinger i ondsinnet kode og angrepsteknikker.
- Pågående eksperimentering med underklynger og spesialisert skadelig programvare.
- Et jevnt tempo i utviklingssykluser, som fremhever tilpasningsevne.
Mustang Pandas stadig utviklende arsenal understreker trusselaktørens langsiktige forpliktelse til å forbedre sine spionasjekapasiteter samtidig som det skjerper sitt regionale fokus.
