Hodur recopila una gran cantidad de información del sistema
Una amenaza persistente avanzada (APT) con sede en China conocida como Mustang Panda se ha vinculado a una campaña de espionaje cibernético en curso que utiliza una variante previamente no documentada del troyano de acceso remoto PlugX en máquinas infectadas.
La firma eslovaca de ciberseguridad ESET apodó la nueva versión Hodur, debido a su parecido con otra variante de PlugX (también conocida como Korplug) llamada THOR que salió a la luz en julio de 2021.
"La mayoría de las víctimas se encuentran en el este y sureste de Asia, pero algunas están en Europa (Grecia, Chipre, Rusia) y África (Sudáfrica, Sudán del Sur)", dijo en un informe el investigador de malware de ESET, Alexandre Côté Cyr.
"Las víctimas conocidas incluyen entidades de investigación, proveedores de servicios de Internet (ISP) y misiones diplomáticas europeas ubicadas principalmente en el este y sudeste de Asia".
Mustang Panda, también conocido como TA416, HoneyMyte, RedDelta o PKPLUG, es un grupo de ciberespionaje conocido principalmente por atacar a organizaciones no gubernamentales con un enfoque específico en Mongolia.
La última campaña, que se remonta al menos a agosto de 2021, utiliza una cadena de compromiso que presenta una pila en constante evolución de documentos señuelo relacionados con los eventos en curso en Europa y la guerra en Ucrania.
"Otros señuelos de phishing mencionan las restricciones de viaje actualizadas de COVID-19, un mapa de ayuda regional aprobado para Grecia y un Reglamento del Parlamento y del Consejo Europeo", dijo ESET. "El atractivo final es un documento real disponible en el sitio web del Consejo Europeo. Esto demuestra que el grupo APT detrás de esta campaña está siguiendo los asuntos actuales y es capaz de reaccionar con éxito y rapidez ante ellos".
Independientemente del señuelo de phishing empleado, las infecciones culminan con el despliegue de la puerta trasera Hodur en el host de Windows comprometido.
"La variante utilizada en esta campaña tiene muchas similitudes con la variante THOR, por eso la hemos llamado Hodur", explicó. "Las similitudes incluyen el uso de la clave de registro Software\CLASSES\ms-pu, el mismo formato para los servidores [de comando y control] en la configuración y el uso de la clase de ventana estática".
Hodur, por su parte, está equipado para manejar una variedad de comandos, lo que permite que el implante recopile una gran cantidad de información del sistema, lea y escriba archivos arbitrarios, ejecute comandos e inicie una sesión cmd.exe remota.
Los hallazgos de ESET se alinean con las divulgaciones públicas del Threat Analysis Group (TAG) de Google y Proofpoint, que detallaron una campaña de Mustang Panda para distribuir una variante actualizada de PlugX a principios de este mes.
"Los señuelos utilizados en esta campaña muestran una vez más la rapidez con la que el Mustang Panda puede reaccionar ante los acontecimientos mundiales", dijo Côté Cyr. "Este grupo también demuestra la capacidad de mejorar iterativamente sus herramientas, incluido su uso característico de los descargadores trident para implementar Korplug".
