Kineska hakerska grupa poznata kao Mustang Panda aktivna je u novoj kampanji usmjerenoj na specifične grupe u Tibetu i Tajvanu, koristeći sofisticirani malver za sajber špijunažu. Istraživači iz kompanije Palo Alto Networks otkrili su da ova grupa primarno koristi metode društvenog inženjeringa, uključujući ciljane “spear-phishing” elektronske pošte, kako bi inficirala svoje mete. Glavni alat u ovim napadima je dvostruki malver poznat kao PUBLOAD i Pubshell.
PUBLOAD služi kao početni vektor infekcije, često isporučen putem zlonamjernih priloga u elektronskoj pošti. Nakon uspješne egzekucije, ovaj malver uspostavlja komunikaciju sa komandnim i kontrolnim (C2) serverima, te služi kao pristupna tačka za preuzimanje i pokretanje Pubshell-a. Pubshell je znatno napredniji i omogućava napadačima daljinsko upravljanje kompromitovanim sistemima. On pruža široke mogućnosti za krađu podataka, praćenje aktivnosti korisnika i daljnje širenje mreže.
Metodologija napada oslanja se na izradu uvjerljivih lažnih dokumenata ili veza koje su prilagođene interesovanjima ili profesionalnim ulogama ciljanih pojedinaca ili organizacija. Na primjer, dokumenti koji se tiču tibetanskih tema ili političkih pitanja mogu biti kreirani da bi privukli pažnju, dok se u pozadini vrši instalacija malvera. Ovaj pristup, poznat kao društveni inženjering, efikasan je jer iskorištava ljudsku znatiželju ili osjećaj hitnosti, navodeći žrtvu da neoprezno otvori zlonamjerni fajl ili klikne na link.
Upozorenje stručnjaka naglašava da je Mustang Panda, poznata i pod drugim imenima kao što su Bronze Atlas i Red Khao, dugogodišnji akter u sajber špijunaži sa jasnom orijentacijom na azijsko-pacifički region. Ova nedavna kampanja potvrđuje njihovu kontinuiranu aktivnost i želju za prikupljanjem obavještajnih podataka o tibetanskoj dijaspori i vlastima na Tajvanu. Informacije su prvobitno objavljene na blogu kompanije Palo Alto Networks, gdje su detaljno opisane tehničke karakteristike malvera i strategije napada.
Ovakvi napadi često počinju slanjem elektronske pošte koja sadrži prilog ili link. Prilog može biti dokument uobičajenog formata (.doc, .pdf) koji, kada se otvori, pokreće kod za preuzimanje malvera. Linkovi često vode do lažnih web stranica koje oponašaju legitimne servise, poput prijavnih stranica ili stranica za preuzimanje softvera, kako bi se izmamili korisnički podaci ili pokrenula infekcija. Prevaranti obično nastoje da stvore osjećaj povjerenja ili hitnosti, navodeći žrtvu da djeluje bez razmišljanja. Svrha ovih operacija je prikupljanje osjetljivih informacija koje bi se mogle koristiti u političke ili ekonomske svrhe, što ovu grupu čini značajnom prijetnjom u međunarodnom sajber prostoru.
