Gli obiettivi confermati in Bulgaria e Australia e si ritiene che siano state prese di mira anche organizzazioni politiche e governative in Europa e in Asia
I ricercatori di ESET, leader globale nel mercato della cybersecurity, hanno analizzato MQsTTang, una nuova backdoor personalizzata riconducibile al gruppo APT Mustang Panda, affiliato alla Cina. Questa backdoor fa parte di una campagna in corso che, secondo ESET, è iniziata a inizio di gennaio 2023. La telemetria di ESET ha individuato come obiettivi soggetti sconosciuti in Bulgaria e Australia, raccogliendo informazioni che indicano come obiettivo anche un’istituzione governativa di Taiwan. A causa della natura dei nomi dei file esca utilizzati, i ricercatori di ESET ritengono che siano state prese di mira anche organizzazioni politiche e governative in Europa e in Asia. La campagna di Mustang Panda è ancora in corso e il gruppo ha intensificato l’attività in Europa dopo l’invasione dell’Ucraina da parte della Russia.
“A differenza della maggior parte di malware del gruppo, MQsTTang non sembra essere basato su famiglie esistenti o modelli già pubblici”, afferma Alexandre Côté Cyr, ricercatore di ESET che ha individuato la campagna in corso. “Questa nuova backdoor MQsTTang fornisce una sorta di shell remota, senza i vantaggi e gli svantaggi associati alle altre tipologie di malware del gruppo. Tuttavia, dimostra che Mustang Panda sta esplorando nuovi stack tecnologici per i propri programmi”, spiega. “Resta da vedere se questa backdoor diventerà una parte ricorrente del loro repertorio, ma è un ulteriore esempio del rapido ciclo di sviluppo e diffusione del gruppo”, conclude Côté Cyr.
MQsTTang è una backdoor semplice che consente all’aggressore di eseguire comandi arbitrari sul computer della vittima e di catturarne l’output. Il malware utilizza il protocollo MQTT per la comunicazione Command and Control. MQTT è tipicamente utilizzato per la comunicazione tra dispositivi IoT e controller e il protocollo non è stato utilizzato in molte famiglie di malware documentate pubblicamente. MQsTTang viene distribuito in archivi RAR che contengono un solo eseguibile. Questi file hanno solitamente nomi legati alla diplomazia e ai passaporti.
Per ulteriori informazioni sulle tecniche utilizzate da MQsTTang, consultare il post “MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT” su WeLiveSecurity.
