Çin'e bağlı casusluk grubu Mustang Panda, Hindistan hükümetine ve hidroelektrik hedeflerine karşı iki kampanya yürütüyor, yeni kötü amaçlı yazılımlar dağıtıyor ve meşru bir bulut hizmetini kendi komuta kanalına dönüştürüyor.
Acronis Tehdit Araştırma Birimi, üst düzey idari personel tarafından kullanılan makineler de dahil olmak üzere Hindistan hükümeti ağlarında aktif güvenlik açıkları tespit etti ve bildirim ve temizleme konusunda CERT-In ile çalıştı.
Kötü amaçlı yazılım, komutları iletmek ve veri sızdırmak için Hindistan'ın kamu sektöründe yaygın olarak kullanılan bir bulut depolama platformu olan Zoho WorkDrive'ı kötüye kullanıyor. Bütün fikir bu: trafik sıradan bulut etkinliğine benziyor, dolayısıyla hırsızlık yaptığı ağın içinde saklanıyor.
Acronis üç yeni araç adlandırıyor.
SHARDLOADER, kötü amaçlı bir DLL dosyasını yasal olarak imzalanmış bir ikili dosya, bir kampanyada yürütülebilir bir Solid PDF Creator yürütülebilir dosyası ve diğer kampanyada bir Citrix Alıcı ikili dosyası aracılığıyla yan yükleyerek çalışan bir yükleyicidir. İki implanttan birini yerleştirir.
kötü amaçlı bir DLL dosyasını yasal olarak imzalanmış bir ikili dosya, bir kampanyada çalıştırılabilir bir Solid PDF Creator ve diğer kampanyada bir Citrix Alıcı ikili dosyası aracılığıyla yan yükleyerek çalışan bir yükleyicidir. İki implanttan birini yerleştirir. MINIRECON, IBM X-Force tarafından belgelenen Toneshell arka kapısının yeniden işlenmiş bir çeşididir ve artık HTTPS üzerinde bir WebSocket bağlantısı üzerinden işaret vermektedir.
IBM X-Force tarafından belgelenen Toneshell arka kapısının yeniden işlenmiş bir çeşididir ve artık HTTPS üzerinde bir WebSocket bağlantısı üzerinden işaret vermektedir. ZOHOMURK yeni bir parçadır: sabit kodlanmış Zoho OAuth kimlik bilgilerini taşır ve bunları saldırgan tarafından kontrol edilen bir WorkDrive hesabını ölü bırakma olarak çalıştırmak, bir gelen kutusu klasöründen komutları okumak ve çalınan çıktıyı bir giden kutusuna yazmak için kullanır.
Her iki kampanya da kötü amaçlı DLL'nin gizli olarak işaretlendiği ZIP arşivleri olarak gelir. Acronis bunların hedef odaklı kimlik avı yoluyla teslim edildiğine inanıyor. Yemler hedeflere uyuyor: biri hidroelektrik işbirliği teklifi etrafında şekilleniyor, diğeri ise Hint ve Tayvanlı kurumlar arasında bir mutabakat zaptı etrafında şekilleniyor.
Acronis'e göre amaç, Hindistan'ın hidroelektrik planları ve Tayvan ile savunma bağları hakkında istihbarat sağlamak. Acronis, etkinliği büyük bir güvenle Mustang Panda'ya bağlıyor.
Raporda, yeniden kullanılan Solid PDF Creator yandan yükleme zinciri, Toneshell ile kod çakışması, gruba bağlı altyapı IBM X-Force ile aynı ağ bloğunda bulunan komut sunucuları ve birden fazla implantta taşınan yinelenen bir yazım hatası olan RunOnece yer alıyor.
Operasyonel güvenlik zayıftı. Sabit kodlanmış tokenlar, düz metin tanımlayıcılar ve yeniden kullanılan altyapının tümü, analistlerin bunu belirlemesine yardımcı oldu. Aktif işaretleme 12 Haziran'dan 22 Haziran 2026'ya kadar sürdü.
Bu, Hint hedeflerine karşı istikrarlı bir baskıyı sürdürüyor. Nisan ayında Acronis, grubun LOTUSLITE arka kapısını Hindistan'ın bankacılık sektörüne ve Güney Kore politika çevrelerine yönelik, yine meşru bir bulut hizmeti aracılığıyla düzenlenen saldırılara bağladı. Çin'in Hindistan'ın enerji sektörüne olan ilgisi daha da geriye gidiyor: 2021 RedEcho kampanyası ShadowPad ile ülkenin elektrik şebekesini hedef aldı.
Uygulanacak yama yok. Savunma teslimatı ve bulutun kötüye kullanımını yakalıyor. Acronis, kalıcı Çalıştırma anahtarları, SolidPDFPcl2Bmp adlı zamanlanmış bir görev, C2 etki alanı caninstallup[.]com ve tarayıcı dışı işlemlerde ortaya çıkan Zoho kullanıcı aracıları dahil olmak üzere göstergeler ve avlanma ipuçları yayınladı.
Hükümet ve enerji kuruluşları, özellikle de Pekin'in ilgisini çekebilecek sınır ötesi anlaşmalarla bağlantılı olanlar, jeopolitik tuzaklara ve imzalı ikili dosyalardan gelen yüklemelere karşı dikkatli olmalı. Dokunmak için bir nedeni olmayan bulut API'lerini çağıran tüm uç nokta işlemlerini işaretleyin.