Kineska APT grupa Mustang Panda, poznata i kao RedDelta ili TA402, primjenjuje nove malvere, PUBLOAD i Pubshell, u cilju špijunaže i napada na specifične mete u Tibetu i Tajvanu. Ovi napadi često počinju ciljanim “spear-phishing” mejlovima, koji služe kao početni vektor za ubacivanje zlonamjernog softvera u sistem žrtve.
Istraživači iz kompanije Cyfirma otkrili su ovu novu kampanju, koja pokazuje da Mustang Panda nastavlja da razvija svoje alate i taktike. PUBLOAD je prvobitno otkriven u napadima na organizacije u istočnoj Aziji, a sada je primijećena njegova upotreba u ciljanim napadima na tibetanske organizacije i pojedince.
Pubshell, s druge strane, predstavlja noviji malver koji služi kao pozadinska alatka (backdoor). Omogućava napadačima daljinski pristup kompjuteru žrtve, preuzimanje i slanje datoteka, te izvršavanje komandi, čime se otvara širok spektar mogućnosti za dalju eksploataciju i prikupljanje obavještajnih podataka.
Upozorenje o ovim aktivnostima objavljeno je na mreži X (ranije poznatoj kao Twitter) od strane analitičara iz Cyfirme, kao i na zvaničnom blogu kompanije. Detaljno su opisali metodologiju napada, naglašavajući da prevaranti koriste sofisticirane metode kako bi namamili žrtve.
Metodologija napada, pojednostavljeno rečeno, oslanja se na socijalni inženjering. Napadači kreiraju uvjerljive “spear-phishing” mejlove koji često imitiraju legitimne komunikacije, poput onih od kolega, poslovnih partnera ili poznatih institucija. Ovi mejlovi mogu sadržavati privitke ili linkove. Kada žrtva otvori privitak ili klikne na link, na njen računar se automatski instalira malver, kao što su PUBLOAD ili Pubshell.
Jedan od ključnih načina na koji prevaranti čine svoje mejlove uvjerljivim jeste personalizacija. Oni često prikupljaju informacije o svojim metama putem javno dostupnih izvora ili prethodnih kompromitacija kako bi stvorili mejlove koji izgledaju kao da dolaze iz pouzdanog izvora i relevantni su za primaoca. Na primjer, mejl može sadržavati specifične detalje o projektu na kojem žrtva radi ili se pozivati na nedavne događaje bitne za tibetansku zajednicu. Cilj je kod žrtve stvoriti osjećaj hitnosti ili povjerenja, kako bi bez previše razmišljanja otvorila zlonamjerni sadržaj.
Ovaj tip napada, usmjeren na prikupljanje osjetljivih informacija o tibetanskim organizacijama i pojedincima, predstavlja ozbiljan rizik za sigurnost i privatnost. Upozorenje poziva na povećan oprez i primjenu rigoroznih sigurnosnih mjera kako bi se zaštitili od ovih prijetnji.