Aktor ancaman yang dilacak sebagai Kuda Mustang telah menyempurnakan persenjataan malware-nya dengan menyertakan alat-alat baru untuk memfasilitasi eksfiltrasi data dan penyebaran muatan tahap berikutnya, menurut temuan baru dari Trend Micro.
Perusahaan keamanan siber yang memantau klaster aktivitas dengan nama Earth Preta mengatakan pihaknya mengamati “penyebaran PUBLOAD melalui varian worm HIUPAN.”
PUBLOAD adalah malware pengunduh yang diketahui terkait dengan Mustang Panda sejak awal 2022, disebarkan sebagai bagian dari serangan siber yang menargetkan entitas pemerintah di kawasan Asia-Pasifik (APAC) untuk mengirimkan malware PlugX.
“PUBLOAD juga digunakan untuk memperkenalkan alat-alat tambahan ke dalam lingkungan target, seperti FDMTP untuk berfungsi sebagai alat kontrol sekunder, yang diamati melakukan tugas-tugas serupa dengan PUBLOAD; dan PTSOCKET, alat yang digunakan sebagai opsi eksfiltrasi alternatif,” kata peneliti keamanan Lenart Bermejo, Sunny Lu, dan Ted Lee.
Penggunaan drive yang dapat dilepas oleh Mustang Panda sebagai vektor penyebaran HIUPAN sebelumnya didokumentasikan oleh Trend Micro pada Maret 2023. Hal ini dilacak oleh Mandiant milik Google sebagai MISTCLOAK, yang diamati terkait dengan kampanye spionase siber yang menargetkan Filipina yang mungkin telah dimulai sejak September 2021.
PUBLOAD dilengkapi dengan fitur untuk melakukan pengintaian jaringan yang terinfeksi dan memanen file yang diinginkan (.doc, .docx, .xls, .xlsx, .pdf, .ppt, dan .pptx), sekaligus berfungsi sebagai saluran bagi alat peretasan baru yang dijuluki FDMTP, yang merupakan “pengunduh malware sederhana” yang diimplementasikan berdasarkan TouchSocket melalui Duplex Message Transport Protocol (DMTP).
Informasi yang ditangkap dikompresi ke dalam arsip RAR dan diekstraksi ke situs FTP yang dikendalikan penyerang melalui cURL. Selain itu, Mustang Panda juga telah diamati menggunakan program khusus bernama PTSOCKET yang dapat mentransfer file dalam mode multi-thread.
Lebih jauh, Trend Micro telah mengaitkan penyerang dengan kampanye spear-phishing “cepat” yang terdeteksi pada bulan Juni 2024 sebagai penyebaran pesan email yang berisi lampiran .url, yang ketika diluncurkan, digunakan untuk mengirimkan pengunduh bertanda tangan yang dijuluki DOWNBAIT.
Kampanye ini diyakini telah menargetkan Myanmar, Filipina, Vietnam, Singapura, Kamboja, dan Taiwan berdasarkan nama berkas dan konten dokumen umpan yang digunakan.
DOWNBAIT adalah alat pemuat tahap pertama yang digunakan untuk mengambil dan mengeksekusi shellcode PULLBAIT dalam memori, yang kemudian mengunduh dan menjalankan pintu belakang tahap pertama yang disebut sebagai CBROVER.
Implan tersebut, pada bagiannya, mendukung pengunduhan berkas dan kemampuan eksekusi shell jarak jauh, selain bertindak sebagai sarana pengiriman untuk trojan akses jarak jauh (RAT) PlugX. PlugX kemudian menangani penyebaran pengumpul berkas khusus lain yang disebut FILESAC yang dapat mengumpulkan berkas korban.
Pengungkapan tersebut terjadi saat Unit 42 Palo Alto Networks merinci penyalahgunaan fitur reverse shell tertanam Visual Studio Code oleh Mustang Panda untuk mendapatkan pijakan di jaringan target, yang menunjukkan bahwa pelaku ancaman secara aktif mengubah modus operandinya.
“Earth Preta telah menunjukkan kemajuan signifikan dalam penyebaran dan strategi malware mereka, khususnya dalam kampanye mereka yang menargetkan entitas pemerintah,” kata para peneliti. “Kelompok ini telah mengembangkan taktik mereka, […] memanfaatkan pengunduh multi-tahap (dari DOWNBAIT hingga PlugX) dan mungkin mengeksploitasi layanan cloud Microsoft untuk pencurian data.”