Il gruppo di cybercriminali noto come Mustang Panda, associato al governo cinese, è stato recentemente osservato nell'utilizzo di una versione aggiornata della backdoor TONESHELL e di un nuovo worm USB denominato SnakeDisk. Questa campagna di attacco si distingue per il fatto che il worm SnakeDisk esegue le sue funzioni solo su dispositivi con indirizzi IP localizzati in Thailandia, dove provvede a installare la backdoor Yokai, ampliando così la portata delle minacce informatiche nella regione.

Secondo gli esperti di IBM X-Force

Mustang Panda, noto anche con altri nomi come BASIN, Bronze President e Earth Preta, opera almeno dal 2012 e si è evoluto costantemente, aggiornando le proprie tecniche e il proprio arsenale di malware. Le campagne recenti fanno uso di email di spear-phishing per veicolare le infezioni, favorendo la distribuzione di malware come PUBLOAD e TONESHELL, i quali possono scaricare ulteriori payload tramite server di comando e controllo (C2).

Evoluzione di TONESHELL

Le varianti più recenti di TONESHELL, chiamate TONESHELL8 e TONESHELL9, sono progettate per comunicare con i server C2 sfruttando proxy locali, camuffando così il traffico malevolo all'interno di reti aziendali. Queste varianti supportano anche due reverse shell attive in parallelo e includono codice spazzatura ispirato al sito di ChatGPT, una tattica per eludere l’analisi statica e rendere più difficile il rilevamento da parte dei sistemi di sicurezza.

Caratteristiche del worm SnakeDisk

SnakeDisk, il nuovo worm USB, viene lanciato tramite la tecnica del DLL side-loading ed è progettato per propagarsi automaticamente tramite dispositivi USB collegati al sistema. Il malware sposta i file legittimi della chiavetta in una nuova sottocartella e crea un file eseguibile con il nome della chiavetta o chiamato USB.exe, inducendo così la vittima a eseguire il payload. Una volta avviato, ripristina i file originali, riducendo la probabilità che l’utente sospetti di un’infezione.

Geofencing e obiettivi di SnakeDisk

Un aspetto particolarmente sofisticato di SnakeDisk è il geofencing: il worm esegue le sue operazioni solo su IP pubblici localizzati in Thailandia. Il suo obiettivo primario è il rilascio della backdoor Yokai, la quale apre una shell remota che permette agli attaccanti di eseguire comandi arbitrari sulla macchina compromessa. Yokai presenta similitudini con altri malware del gruppo, come PUBLOAD e TONESHELL, sia nella struttura sia nelle tecniche di comunicazione con il server C2.

Focus regionale e capacità avanzate

L’uso di SnakeDisk e Yokai indica la presenza di una sottosezione del gruppo Mustang Panda focalizzata specificamente sulla Thailandia e sottolinea l’avanzamento delle capacità di questo attore nella creazione di un ecosistema malware sempre più modulare e interoperabile.