Un nuovo attacco informatico minaccia la comunità tibetana
Un gruppo di cybercriminali legato alla Cina, noto come Mustang Panda, è stato identificato come responsabile di una nuova campagna di spionaggio informatico diretta contro la comunità tibetana. Secondo IBM X-Force, gli attacchi di spear-phishing hanno sfruttato temi legati al Tibet, come la 9ª Convenzione Mondiale dei Parlamentari sul Tibet (WPCT), la politica educativa della Cina nella Regione Autonoma del Tibet (TAR) e un libro recentemente pubblicato dal 14° Dalai Lama.
La campagna, osservata all’inizio di questo mese, ha portato al dispiegamento di un malware noto come PUBLOAD, attribuito a Mustang Panda. IBM sta monitorando questo attore sotto il nome di Hive0154. Le catene di attacco utilizzano esche a tema tibetano per distribuire un archivio malevolo contenente un file Microsoft Word innocuo, insieme ad articoli riprodotti da siti web tibetani e foto del WPCT, inducendo l’apertura di un eseguibile mascherato da documento.
Come osservato in attacchi precedenti di Mustang Panda, l’eseguibile sfrutta il DLL side-loading per lanciare una DLL malevola chiamata Claimloader, utilizzata per distribuire PUBLOAD. Questo malware downloader contatta un server remoto per scaricare un payload di fase successiva chiamato Pubshell.
Pubshell è una “backdoor leggera che facilita l’accesso immediato alla macchina tramite una shell inversa”, hanno affermato i ricercatori di sicurezza Golo Mühr e Joshua Chung in un’analisi pubblicata questa settimana. Vale la pena menzionare alcune differenze di nomenclatura: IBM ha dato il nome Claimloader allo stager personalizzato documentato per la prima volta da Cisco Talos nel maggio 2022 e PUBLOAD al downloader di shellcode di prima fase, mentre Trend Micro identifica entrambi come PUBLOAD. Team T5, similmente, traccia i due componenti collettivamente come NoFive.
Lo sviluppo arriva settimane dopo l’attività di IBM, che ha attribuito a un sottogruppo di Hive0154 il targeting di Stati Uniti, Filippine, Pakistan e Taiwan dalla fine del 2024 all’inizio del 2025. Questa attività, come nel caso di quella rivolta al Tibet, utilizza archivi armati provenienti da email di spear-phishing per colpire enti governativi, militari e diplomatici.
Le comunicazioni digitali contengono link a URL di Google Drive che scaricano archivi ZIP o RAR trappolati al clic, portando infine al dispiegamento di TONESHELL nel 2024 e PUBLOAD a partire da quest’anno tramite Claimloader. TONESHELL, un altro malware spesso utilizzato da Mustang Panda, funziona in modo simile a Pubshell, poiché viene utilizzato per creare una shell inversa ed eseguire comandi sull’host compromesso.
“L’implementazione di Pubshell della shell inversa tramite pipe anonime è quasi identica a TONESHELL”, hanno detto i ricercatori. “Tuttavia, invece di eseguire un nuovo thread per restituire immediatamente i risultati, Pubshell richiede un comando aggiuntivo per restituire i risultati dei comandi. Supporta anche solo l’esecuzione di ‘cmd.exe’ come shell”.
In diversi modi, PUBLOAD e Pubshell sembrano essere una versione ‘lite’ sviluppata indipendentemente di TONESHELL, ottimizzata per l’accesso rapido e leggero ai sistemi compromessi.
Fonte: The Hackers News
