Mustang Panda снова в седле: китайские хакеры обновили свой «автопарк» вредоносного софта

Группировка Mustang Panda, связанная с Китаем, снова оказалась в центре внимания после атаки на организацию в Мьянме. В ходе операции была задействована новая волна вредоносного инструментария, ранее не наблюдавшегося исследователями. Этот случай подчёркивает, насколько системно и целенаправленно действует группа, повышая сложность и скрытность своих кибератак.

Одним из главных элементов последних атак стала обновлённая версия бэкдора TONESHELL. По информации Zscaler ThreatLabz ( 1 , 2 ), его модификация теперь использует усовершенствованный протокол FakeTLS для связи с управляющим сервером, а также изменила методику генерации и хранения идентификаторов жертв. Это позволяет сократить вероятность обнаружения и повысить устойчивость при работе внутри скомпрометированной сети.

Помимо обновлённого TONESHELL, специалисты выявили сразу три его варианта. Один из них представляет собой обычную обратную оболочку, второй — позволяет загружать DLL с управляющего сервера и внедрять их в легитимные процессы, такие как «svchost.exe». Третий вариант наиболее сложен: он скачивает произвольные файлы и выполняет команды удалённого сервера через собственный TCP-протокол.

Существенным усилением инструментария стал компонент StarProxy, используемый для горизонтального перемещения по внутренним сетям. Он запускается с помощью DLL Sideloading и применяет тот же FakeTLS-протокол. StarProxy проксирует трафик между заражёнными машинами и серверами управления, используя TCP-сокеты и шифруя данные кастомным XOR-алгоритмом. Его применение особенно эффективно для работы с устройствами, не имеющими прямого доступа к интернету.

Кроме того, в ходе расследования специалисты Zscaler обнаружили два новых кейлоггера — PAKLOG и CorKLOG. Они оба регистрируют нажатия клавиш и данные из буфера обмена, однако CorKLOG использует RC4-шифрование для хранения логов и создаёт механизмы автозапуска через системные службы и планировщик задач. Важно отметить, что оба инструмента не осуществляют передачу данных самостоятельно — эта функция реализуется внешними компонентами, что затрудняет детектирование.

Ещё один элемент в арсенале Mustang Panda — драйвер ядра Windows под названием SplatCloak. Он устанавливается при помощи инструмента SplatDropper и отключает механизмы защиты, связанные с Windows Defender и решениями «Лаборатории Касперского». Это даёт возможность вредоносным процессам работать без вмешательства со стороны систем защиты.

Mustang Panda, также известная как BASIN, Bronze President, Camaro Dragon, Earth Preta и другими псевдонимами, действует как минимум с 2012 года. Её деятельность традиционно направлена на правительственные структуры, армии, национальные меньшинства и некоммерческие организации в странах Восточной Азии. Одной из её визитных карточек долгое время оставалось распространение PlugX через DLL Sideloading, однако за последние годы произошёл явный переход к более изощрённым и адаптивным средствам.

Разнообразие новых компонентов, регулярные обновления и многослойная маскировка сигнализируют о высоком уровне подготовки и гибкости атакующего коллектива. Все эти меры направлены на повышение эффективности и живучести операций в условиях жёсткой конкуренции в области кибер шпионажа .