Les pirates chinois utilisent une nouvelle porte dérobée personnalisée pour échapper à la détection
Depuis cette année, une nouvelle porte dérobée sur mesure portant le nom de “MQsTTang” est utilisée dans les attaques de l’organisation chinoise de cyberespionnage Mustang Panda.
L’organisation APT Mustang Panda est bien connue pour l’utilisation de logiciels malveillants spécialisés PlugX pour attaquer les entreprises du monde entier avec des attaques de vol de données. Les acteurs de la menace sont également connus sous les noms de Bronze President et TA416, respectivement.
Le nouveau logiciel de porte dérobée MQsTTang de Mustang Panda ne semble pas être basé sur un logiciel malveillant antérieur, ce qui suggère que les pirates l’ont probablement créé pour éviter la détection et compliquer l’attribution.
MQsTTang a été découvert par les chercheurs d’ESET dans le cadre d’une campagne qui a débuté en janvier 2023 et qui est toujours active aujourd’hui. Ciblant en particulier Taïwan et l’Ukraine, cette campagne vise à influencer les institutions politiques et gouvernementales en Europe et en Asie.
Les charges utiles sont téléchargées à partir de dépôts GitHub réalisés par un utilisateur lié aux efforts antérieurs de Mustang Panda, tandis que le malware est distribué par le biais d’e-mails de spear-phishing.
Le logiciel malveillant prend la forme d’un exécutable emballé à l’intérieur de paquets RAR dont les noms ont un thème diplomatique, comme des scans de passeports de diplomates, des notes d’ambassade, etc.
La nouvelle porte dérobée MQsTTang
ESET décrit MQsTTang comme une porte dérobée de type “barebones” qui permet à l’acteur de la menace d’exécuter des commandes à distance sur l’ordinateur de la victime et de recevoir leurs résultats.
Selon l’étude d’ESET, “cette nouvelle porte dérobée MQsTTang offre une forme de shell à distance sans aucune des cloches et des sifflets associés aux autres familles de logiciels malveillants du groupe.
Une fois lancé, le malware se copie et utilise une option de ligne de commande pour lancer des connexions C2, établir la persistance et d’autres fonctions.
.
En créant une nouvelle entrée de registre sous “HKCUSoftwareMicrosoftWindowsCurrentVersionRun”, qui lance le virus au démarrage de la machine, la persistance est établie. Seul le job de communication C2 est exécuté après un redémarrage.
La particularité de ce nouveau backdoor est son utilisation du protocole MQTT pour les connexions au serveur de commande et de contrôle.
En acheminant toutes les communications par l’intermédiaire d’un courtier, MQTT confère au logiciel malveillant une grande résilience aux démantèlements de C2, dissimule l’infrastructure de l’attaquant et réduit la probabilité qu’il soit découvert par des défenses recherchant des protocoles C2 plus largement utilisés.
Afin d’éviter d’être détecté, MQsTTang recherche des débogueurs ou des outils de surveillance sur l’hôte et modifie son comportement s’il en trouve.
Les analystes de Trend Micro ont noté une récente opération de Mustang Panda qui a fortement ciblé des entreprises australiennes, japonaises, taïwanaises et philippines entre mars et octobre 2022.
Trois variantes de malwares, PubLoad, ToneIns et ToneShell, qui ne sont pas présentes dans la campagne de 2023 découverte par ESET, ont été employées par l’organisation de menaces dans cette campagne.
Il reste à révéler si MQsTTang a été créé spécialement pour une opération particulière ou s’il fera finalement partie de l’arsenal du groupe.
French 
Italian 