Aktor ancaman yang berbasis di China dikenal sebagai Mustang Panda telah diamati menyempurnakan dan memperlengkapi kembali taktik dan malware untuk menyerang entitas yang berlokasi di Asia, Uni Eropa, Rusia, dan AS
“Mustang Panda adalah grup APT bermotivasi tinggi yang mengandalkan terutama pada penggunaan umpan topikal dan rekayasa sosial untuk mengelabui korban agar menginfeksi diri mereka sendiri,” kata Cisco Talos dalam laporan baru yang merinci modus operandi grup yang berkembang.
Grup ini diketahui telah menargetkan berbagai organisasi setidaknya sejak 2012, dengan aktor tersebut terutama mengandalkan rekayasa sosial berbasis email untuk mendapatkan akses awal untuk menjatuhkan PlugX, sebuah pintu belakang yang sebagian besar digunakan untuk akses jangka panjang.
Pesan phishing yang dikaitkan dengan kampanye berisi umpan berbahaya yang menyamar sebagai laporan resmi Uni Eropa tentang konflik yang sedang berlangsung di Ukraina atau laporan pemerintah Ukraina, keduanya mengunduh malware ke mesin yang disusupi.
Juga diamati adalah pesan phishing yang dirancang untuk menargetkan berbagai entitas di AS dan beberapa negara Asia seperti Myanmar, Hong Kong, Jepang, dan Taiwan.
Temuan ini mengikuti laporan terbaru dari Secureworks bahwa kelompok tersebut mungkin telah menargetkan pejabat pemerintah Rusia menggunakan umpan yang mengandung PlugX yang menyamar sebagai laporan tentang detasemen perbatasan ke Blagoveshchensk.
Tetapi serangan serupa yang terdeteksi menjelang akhir Maret 2022 menunjukkan bahwa para pelaku memperbarui taktik mereka dengan mengurangi URL jarak jauh yang digunakan untuk mendapatkan berbagai komponen rantai infeksi.
Selain PlugX, rantai infeksi yang digunakan oleh grup APT telah melibatkan penerapan stager khusus, shell terbalik, Shellcode berbasis meterpreterdan Cobalt Strike, yang semuanya digunakan untuk membuat akses jarak jauh ke target mereka dengan tujuan melakukan spionase dan pencurian informasi.
“Dengan menggunakan umpan bertema pertemuan puncak dan konferensi di Asia dan Eropa, penyerang ini bertujuan untuk mendapatkan akses jangka panjang sebanyak mungkin untuk melakukan spionase dan pencurian informasi,” kata peneliti Talos.