Les victimes de cette campagne sont probablement attirées par des documents de hameçonnage exploitant les tous derniers événements survenus en Europe, tels que l’invasion de l’Ukraine par la Russie. Plus de trois millions d’habitants ont en effet fui la guerre vers les pays voisins selon l’Agence des Nations unies pour les réfugiés, ce qui a entraîné une crise sans précédent aux frontières de l’Ukraine. L’un des noms de fichiers liés à cette campagne est « Situation at the EU borders with Ukraine.exe » (Situation aux frontières de l’UE avec l’Ukraine.exe).
D’autres documents d’hameçonnage mentionnent de nouvelles restrictions de déplacement dues à COVID-19, une carte d’aide régionale approuvée pour la Grèce, et un règlement du Parlement européen et du Conseil de l’Europe. L’appât final est un véritable document disponible sur le site web du Conseil de l’Europe. Cela montre que le groupe de pirates à l’origine de cette campagne suit l’actualité, et est capable d’y réagir rapidement et avec succès.
« Sur la base des similitudes de code et des nombreux points communs au niveau des tactiques, techniques et procédures, les chercheurs d’ESET attribuent avec une grande certitude cette campagne à Mustang Panda, également connu sous le nom de TA416, RedDelta ou PKPLUG. Il s’agit d’un groupe de cyberespionnage qui cible principalement des entités gouvernementales et des ONG, » explique Alexandre Côté Cyr, le Malware Researcher chez ESET qui a découvert Hodur. Les victimes de Mustang Panda se situent principalement, mais pas exclusivement, en Asie de l’Est et du Sud-Est, en particulier en Mongolie. Le groupe est également connu pour sa campagne visant le Vatican en 2020.
Bien que les chercheurs d’ESET n’aient pas été en mesure d’identifier les secteurs de toutes les victimes, cette campagne semble avoir les mêmes objectifs de ciblage que les autres campagnes de Mustang Panda. Conformément à la victimologie typique du groupe, la plupart des victimes sont situées en Asie de l’Est et du Sud-Est, ainsi que dans des pays européens et africains. Selon la télémétrie d’ESET, la grande majorité des cibles sont situées en Mongolie et au Vietnam, puis au Myanmar, et seulement quelques-unes dans d’autres pays à savoir la Grèce, Chypre, la Russie, le Soudan du Sud et l’Afrique du Sud. Les secteurs identifiés comprennent les missions diplomatiques, les organismes de recherche et les fournisseurs d’accès à Internet (FAI).
Les campagnes de Mustang Panda utilisent fréquemment des chargeurs personnalisés pour les malwares partagés, notamment Cobalt Strike, Poison Ivy et Korplug (également connu sous le nom de PlugX). Le groupe a également créé ses propres variantes de Korplug. « Par rapport à d’autres campagnes utilisant Korplug, chaque étape du processus de déploiement utilise des techniques anti-analyses et d’obfuscation du flux de contrôle, afin que le travail d’enquête soit plus difficile pour nous, les chercheurs en malwares, » conclut M. Côté Cyr.
Pour une analyse technique détaillée, lisez l’article sur WeLiveSecurity. Suivez ESET Research sur Twitter pour connaître les dernières actualités d’ESET Research.
La plupart des victimes touchées par Mustang Panda dans cette campagne se trouvent en Asie de l’Est et du Sud-Est