Mustang Panda

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.

O grupo de ameaças cibernéticas alinhado à China, conhecido como Mustang Panda, foi identificado utilizando uma versão atualizada de um backdoor chamado TONESHELL e um novo worm USB, denominado SnakeDisk. Segundo pesquisadores da IBM X-Force, o SnakeDisk é projetado para ser executado apenas em dispositivos com endereços IP localizados na Tailândia, onde ele instala o backdoor Yokai. O TONESHELL, documentado pela primeira vez em 2022, é utilizado para baixar cargas úteis adicionais em sistemas infectados, frequentemente através de e-mails de spear-phishing. As variantes mais recentes, TONESHELL8 e TONESHELL9, introduzem comunicação com servidores de comando e controle (C2) através de proxies locais, dificultando a detecção. O SnakeDisk, por sua vez, propaga-se através de dispositivos USB, enganando usuários ao mover arquivos existentes para subdiretórios e renomeando o payload malicioso. A atividade do Mustang Panda, que remonta a pelo menos 2012, destaca a evolução contínua de suas táticas e ferramentas, com um foco particular na Tailândia, o que pode indicar um subgrupo especializado. A IBM X-Force alerta que o grupo mantém um ecossistema de malware robusto e em constante desenvolvimento.

O grupo de ameaças ligado à China, Mustang Panda, tem se destacado como uma sofisticada organização de espionagem, visando governos, ONGs e think tanks nos EUA, Europa e Ásia. Desde sua identificação pública em 2017, suas operações, que provavelmente começaram em 2014, têm se concentrado na coleta de inteligência. As campanhas de spear-phishing do grupo utilizam narrativas geopolíticas e documentos em língua local como iscas para disseminar malware avançado, como PlugX e Poison Ivy. Em uma operação conjunta em 2025, autoridades dos EUA e da França neutralizaram variantes do PlugX que estavam sendo espalhadas por drives USB infectados, afetando mais de 4.200 dispositivos globalmente.