Grup peretas spionase dunia maya Cina, Mustang Panda, terlihat menggunakan pintu belakang khusus baru bernama ‘MQsTTang’ dalam serangan mulai tahun ini.
Mustang Panda adalah grup ancaman persisten tingkat lanjut (APT) yang diketahui menargetkan organisasi di seluruh dunia dalam serangan pencurian data menggunakan versi khusus malware PlugX. Pelaku ancaman juga dikenal sebagai TA416 dan Bronze President.
Malware pintu belakang MQsTTang Mustang Panda yang baru tampaknya tidak didasarkan pada malware sebelumnya, menunjukkan bahwa peretas kemungkinan mengembangkannya untuk menghindari deteksi dan mempersulit atribusi.
Peneliti ESET menemukan MQsTTang dalam kampanye yang dimulai pada Januari 2023 dan masih berlangsung. Kampanye tersebut menargetkan organisasi pemerintah dan politik di Eropa dan Asia, dengan fokus pada Taiwan dan Ukraina.
Distribusi malware terjadi melalui email spear-phishing, sedangkan muatan diunduh dari repositori GitHub yang dibuat oleh pengguna yang terkait dengan kampanye Mustang Panda sebelumnya.
Malware tersebut dapat dieksekusi dan dikompresi di dalam arsip RAR, diberi nama dengan tema diplomasi, seperti pindaian paspor anggota misi diplomatik, catatan kedutaan, dll.
Pintu belakang MQsTTang baru
ESET mencirikan MQsTTang sebagai pintu belakang “barebones” yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh pada mesin korban dan menerima hasilnya.
“Pintu belakang MQsTTang baru ini menyediakan semacam shell jarak jauh tanpa bel dan peluit apa pun yang terkait dengan keluarga malware grup lainnya,” baca laporan ESET.
Saat diluncurkan, malware membuat salinan dirinya sendiri dengan argumen baris perintah yang melakukan berbagai tugas, seperti memulai komunikasi C2, membangun kegigihan, dll.
Persistence dibuat dengan menambahkan kunci registri baru di bawah “HKCU\Software\Microsoft\Windows\CurrentVersion\Run,” yang meluncurkan malware saat startup sistem. Setelah reboot, hanya tugas komunikasi C2 yang dijalankan.
Karakteristik yang tidak biasa dari backdoor baru adalah penggunaan protokol MQTT untuk komunikasi server perintah dan kontrol.
MQTT memberi malware ketahanan yang baik terhadap pencopotan C2, menyembunyikan infrastruktur penyerang dengan melewatkan semua komunikasi melalui broker, dan membuatnya lebih kecil kemungkinannya untuk dideteksi oleh pembela yang mencari protokol C2 yang lebih umum digunakan.
Untuk menghindari deteksi, MQsTTang memeriksa keberadaan debugger atau alat pemantauan di host, dan jika ada yang ditemukan, perilakunya akan berubah.
Operasi Mustang Panda baru-baru ini diamati antara Maret dan Oktober 2022 oleh analis di Trend Micro, yang melaporkan melihat penargetan berat terhadap organisasi Australia, Jepang, Taiwan, dan Filipina.
Dalam kampanye tersebut, grup ancaman menggunakan tiga jenis malware, yaitu PubLoad, ToneIns, dan ToneShell, yang tidak ada dalam kampanye 2023 yang ditemukan oleh ESET.
Apakah MQsTTang menjadi bagian dari gudang senjata jangka panjang grup atau jika dikembangkan secara khusus untuk operasi tertentu masih harus dilihat.
