El grupo de amenazas alineado con China conocido como Mustang Panda ha sido identificado recientemente utilizando una versión actualizada de su puerta trasera TONESHELL junto con un nuevo gusano USB previamente no documentado, denominado SnakeDisk. Estas herramientas maliciosas forman parte de una campaña de espionaje cibernético altamente dirigida a objetivos en Tailandia, lo que refuerza la sofisticación y evolución del arsenal de este actor de amenazas.
Mustang Panda y su huella en el ciberespionaje
De acuerdo con un informe de IBM X-Force, los investigadores Mühr y Joshua Chung rastrean al grupo bajo el nombre de Hive0154, aunque también es ampliamente conocido como Bronze President, BASIN, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus y Twill Typhoon. Este actor patrocinado por el estado chino ha estado activo desde al menos 2012, con un historial de ataques contra gobiernos, ONGs y sectores estratégicos en Asia y más allá.
La táctica de Mustang Panda suele centrarse en el spear-phishing como método inicial de intrusión, enviando correos electrónicos maliciosos que descargan familias de malware como PUBLOAD, PUBSHELL y TONESHELL, diseñadas para establecer acceso persistente en los sistemas comprometidos.
Evolución de TONESHELL: de 2022 a TONESHELL9
La puerta trasera TONESHELL fue documentada por primera vez en noviembre de 2022 por Trend Micro, en campañas contra Myanmar, Australia, Filipinas, Japón y Taiwán. Su función principal es descargar cargas útiles adicionales en el host infectado mediante técnicas de carga lateral de DLL.
Las variantes más recientes, TONESHELL8 y TONESHELL9, introducen mejoras notables:
-
Comunicación C2 (Command and Control) a través de servidores proxy locales, lo que dificulta su detección al camuflarse dentro del tráfico empresarial.
-
Soporte para dos shells inversos activos en paralelo, aumentando la flexibilidad del atacante.
-
Inclusión de código basura copiado del sitio web de ChatGPT de OpenAI con el objetivo de evadir análisis estático y herramientas de detección automatizadas.
Esta evolución demuestra la constante inversión de Mustang Panda en mantener su malware un paso adelante frente a las defensas de ciberseguridad.
SnakeDisk: un gusano USB dirigido a Tailandia
El descubrimiento más preocupante de esta campaña es SnakeDisk, un gusano USB desconocido hasta ahora que comparte similitudes con TONEDISK (también llamado WispRider), otro marco de propagación por USB relacionado con TONESHELL.
Las características clave de SnakeDisk incluyen:
-
Propagación a través de dispositivos USB: mueve los archivos legítimos del dispositivo a un subdirectorio oculto, dejando en su lugar un archivo malicioso con el nombre del volumen USB o “USB.exe”.
-
Una vez que la víctima ejecuta el archivo, el malware restaura los documentos originales para reducir sospechas.
-
Está geocercado para ejecutarse únicamente en direcciones IP públicas en Tailandia, lo que confirma la naturaleza altamente dirigida de la operación.
-
Funciona como vector de instalación para la puerta trasera Yokai, que establece un shell inverso para ejecutar comandos arbitrarios.
Yokai: continuidad del arsenal de Mustang Panda
La puerta trasera Yokai ya había sido identificada en 2024 por Netskope, en ataques dirigidos a funcionarios tailandeses. Este malware comparte similitudes con otras familias utilizadas por Hive0154, como PUBLOAD/PUBSHELL y TONESHELL, todas con un mismo objetivo: mantener control remoto sobre los sistemas infectados.
Su diseño modular y la capacidad de ejecutar comandos arbitrarios lo convierten en una herramienta flexible para espionaje y exfiltración de información.
Implicaciones de seguridad y geopolítica
El uso combinado de TONESHELL, SnakeDisk y Yokai refleja una estrategia de especialización regional por parte de Mustang Panda, con un subgrupo aparentemente dedicado a operaciones en Tailandia. Este enfoque geográfico sugiere que el grupo no solo busca expandir su alcance, sino también fortalecer su influencia estratégica en el sudeste asiático.
Además, la capacidad de Mustang Panda para superponer técnicas y códigos entre diferentes familias de malware confirma que mantiene un ecosistema amplio, modular y en constante desarrollo. Esto le permite adaptarse rápidamente a medidas defensivas y mantener operaciones de espionaje sostenidas en el tiempo.
En fin…
El análisis de IBM X-Force resalta que Mustang Panda (Hive0154) continúa siendo un actor de amenazas altamente capaz, con múltiples subgrupos activos y un ciclo de desarrollo frecuente de malware. Su arsenal, que ahora incluye variantes avanzadas de TONESHELL, el gusano USB SnakeDisk y la puerta trasera Yokai, refleja un esfuerzo continuo por refinar sus técnicas y reforzar su eficacia en operaciones de ciberespionaje.
La campaña enfocada en Tailandia demuestra que Mustang Panda sigue siendo una amenaza global significativa, particularmente para gobiernos y sectores críticos en Asia. Mantener sistemas actualizados, reforzar políticas de seguridad en dispositivos extraíbles y aplicar inteligencia de amenazas proactiva son medidas clave para mitigar el riesgo frente a este tipo de ataques avanzados.
Fuente: The Hacker News
