Kineska hakerska grupa Mustang Panda, poznata i kao Bronze Atlas, organizovala je sofisticirani napad usmjeren ka tibetanskim i tajvanskim entitetima, koristeći dva nova tipa malvera nazvana PUBLOAD i Pubshell. Ova kampanja, usredsređena na kibernetsku špijunažu, koristi metode socijalnog inženjeringa kako bi se infiltrirala u ciljane sisteme.
Istraživači iz kompanije SentinelOne otkrili su da je Mustang Panda koristila “spear-phishing” elektronske pošte, precizno ciljane poruke koje imitiraju legitimnu komunikaciju, kako bi namamila žrtve. Ove poruke su sadržavale priloge ili linkove koji su, nakon otvaranja, instalirali malver na sistem žrtve.
PUBLOAD, prvobitno otkriven u ranijim kampanjama grupe, služi kao početni vektor za ulazak. Njegova uloga je da uspostavi postojanost na zaraženom sistemu i pripremi teren za preuzimanje i izvršavanje dodatnog zlonamjernog softvera. Nakon uspješne infekcije, PUBLOAD omogućava preuzimanje Pubshella, novootkrivenog malvera koji ciljanoj grupi omogućava naprednije funkcije za nadzor i krađu podataka.
Pubshell je razvijen da omogući izvršavanje komandi na daljinu i efikasno prikupljanje osjetljivih informacija. Ova sposobnost omogućava Mustang Pundi da dugoročno nadzire svoje mete, prikuplja povjerljive podatke i potencijalno ih koristi za svoje strateške ciljeve. Ciljanje tibetanskih i tajvanskih organizacija ukazuje na nastavak politički motivisanih kibernetičkih operacija koje sprovodi ova grupa.
Upozorenje je objavljeno na platformi X (ranije poznatoj kao Twitter) od strane SentinelOne-a, a detaljnije analize objavljene su na njihovom zvaničnom blogu. Kompanija je naglasila da je metodologija napada uvjerljiva, jer se oslanja na kreiranje vjerodostojnih phishing poruka koje često koriste informacije specifične za ciljanu organizaciju ili pojedinca, čime se povećava šansa za uspjeh. Prevaranti vješto koriste društvene inženjerske tehnike kako bi prevarili korisnike, navodeći ih da otkriju osjetljive podatke ili da nehotice pokrenu zlonamjerni kod.
Iako se u izvještaju ne navode konkretni primjeri žrtava ove specifične kampanje, slični napadi su ranije uključivali slanje emailova koji su izgledali kao obavještenja o ažuriranju softvera, pozivnice za događaje ili poruke od navodnih poslovnih partnera. Ove tehnike su dizajnirane da kod žrtve stvore osjećaj hitnosti ili povjerenja, podstičući je da klikne na link ili otvori prilog bez dubljeg razmišljanja o potencijalnoj opasnosti. Ovakvi napadi naglašavaju potrebu za kontinuiranom edukacijom korisnika o kibernetičkim prijetnjama i značaj primjene sigurnih praksi u digitalnom okruženju.
