Mustang Panda

O grupo de hackers conhecido como Mustang Panda, vinculado à China, utilizou um driver de rootkit em modo kernel não documentado para implantar uma nova variante de backdoor chamada TONESHELL. Essa atividade foi detectada em meados de 2025, com foco em entidades governamentais na Ásia, especialmente em Myanmar e Tailândia. O driver malicioso, assinado com um certificado digital roubado, atua como um minifiltro, injetando o trojan TONESHELL nos processos do sistema e protegendo arquivos maliciosos e chaves de registro. O TONESHELL possui capacidades de shell reverso e downloader, permitindo que os atacantes baixem malware adicional em máquinas comprometidas. A infraestrutura de comando e controle (C2) foi estabelecida em setembro de 2024, e o ataque pode ter explorado máquinas previamente comprometidas. A detecção do shellcode injetado é crucial para identificar a presença do backdoor. A Kaspersky destacou que a evolução das operações do Mustang Panda mostra um uso crescente de injetores em modo kernel, aumentando a furtividade e a resiliência das suas atividades maliciosas.

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.

O grupo de ameaças cibernéticas alinhado à China, conhecido como Mustang Panda, foi identificado utilizando uma versão atualizada de um backdoor chamado TONESHELL e um novo worm USB, denominado SnakeDisk. Segundo pesquisadores da IBM X-Force, o SnakeDisk é projetado para ser executado apenas em dispositivos com endereços IP localizados na Tailândia, onde ele instala o backdoor Yokai. O TONESHELL, documentado pela primeira vez em 2022, é utilizado para baixar cargas úteis adicionais em sistemas infectados, frequentemente através de e-mails de spear-phishing. As variantes mais recentes, TONESHELL8 e TONESHELL9, introduzem comunicação com servidores de comando e controle (C2) através de proxies locais, dificultando a detecção. O SnakeDisk, por sua vez, propaga-se através de dispositivos USB, enganando usuários ao mover arquivos existentes para subdiretórios e renomeando o payload malicioso. A atividade do Mustang Panda, que remonta a pelo menos 2012, destaca a evolução contínua de suas táticas e ferramentas, com um foco particular na Tailândia, o que pode indicar um subgrupo especializado. A IBM X-Force alerta que o grupo mantém um ecossistema de malware robusto e em constante desenvolvimento.

O grupo de ameaças ligado à China, Mustang Panda, tem se destacado como uma sofisticada organização de espionagem, visando governos, ONGs e think tanks nos EUA, Europa e Ásia. Desde sua identificação pública em 2017, suas operações, que provavelmente começaram em 2014, têm se concentrado na coleta de inteligência. As campanhas de spear-phishing do grupo utilizam narrativas geopolíticas e documentos em língua local como iscas para disseminar malware avançado, como PlugX e Poison Ivy. Em uma operação conjunta em 2025, autoridades dos EUA e da França neutralizaram variantes do PlugX que estavam sendo espalhadas por drives USB infectados, afetando mais de 4.200 dispositivos globalmente.