Grupa poznata kao Mustang Panda, koja je aktivna od 2017. godine, izvela je nedavne napade usmjerene na tibetanske organizacije. Ovi napadi su koristili dva nova zlonamjerna softvera nazvana PUBLOAD i Pubshell, dizajnirana za špijunažu. Istraživanje kompanije SentinelOne otkrilo je da su ovi zlonamjerni softveri bili dio kampanje koja je ciljala tibetanske zvaničnike, humanitarne organizacije i novinare.
Kampanja je primarno koristila taktiku tzv. “spear-phishing” napada, pri čemu su napadači slali ciljane imejlove koji su izgledali legitimno. Unutar tih imejlova nalazio se zlonamjerni link ili prilog. Kada bi žrtva kliknula na link ili otvorila prilog, aktivirao bi se PUBLOAD. PUBLOAD je prvi stepen zlonamjernog softvera koji preuzima i pokreće Pubshell. Pubshell je napredniji zlonamjerni softver koji omogućava napadačima daljinski pristup žrtvinom sistemu, krađu podataka i izvođenje drugih štetnih radnji.
Upozorenje je objavljeno na blogu kompanije SentinelOne. Upozorenje detaljnije objašnjava da je Mustang Panda, poznata i kao Bronze Atlas, dugogodišnji akter u sajber špijunaži, često usmjeren na azijsko-pacifički region, sa posebnim interesovanjem za političke i diplomatske mete. Nedavni napadi naglašavaju kontinuitet i prilagodljivost ove grupe, koja sada koristi sofisticiranije alate za postizanje svojih ciljeva.
Metodologija napada na laički razumljiv način može se objasniti kao slanje “lažnog pisma” koje izgleda kao da dolazi od poznatog izvora, na primjer, od kolege ili službenog tijela. Unutar tog pisma se krije “zloćudna poruka” (zlonamjerni softver) koja se pokreće kada žrtva pokuša pročitati poruku ili otvoriti datoteku koja je priložena. Prevaranti na ovaj način mame žrtve obećavajući korisne informacije ili tražeći hitnu akciju, dok je zapravo njihov cilj da dobiju pristup ličnim podacima ili sistemu žrtve.
Iako članak ne navodi konkretne primjere žrtava ili detaljan opis jedne pojedinačne prevare, naglašava se širi obrazac djelovanja grupe Mustang Panda. Oni su poznati po tome što koriste vješto pripremljene imejlove koji oponašaju komunikaciju povezanu sa tibetanskim pitanjima ili međunarodnim događajima kako bi naveli korisnike da kliknu na zlonamjerne linkove. Ovakvi napadi su uverljivi jer često koriste trenutne političke ili društvene teme kako bi povećali vjerovatnoću da će žrtva reagovati bez dovoljnog razmišljanja.
