El grupo de ciberespionaje Mustang Panda, una de las amenazas persistentes avanzadas (APT) más activas vinculadas a China, ha sido relacionado con una nueva campaña maliciosa dirigida específicamente a la comunidad tibetana. Según el equipo de ciberseguridad IBM X-Force, esta ofensiva emplea técnicas de spear-phishing altamente personalizadas para distribuir malware sofisticado como PUBLOAD y Pubshell, herramientas ya asociadas a este actor.
La campaña tiene como objetivo recolectar inteligencia y mantener acceso persistente en sistemas de entidades tibetanas, aprovechando temas sensibles como eventos diplomáticos y la represión cultural en el Tíbet.
Temas tibetanos como señuelo en correos de spear-phishing
Los investigadores de IBM X-Force señalan que la campaña comenzó a principios de junio de 2025. Los correos electrónicos maliciosos están diseñados con temáticas tibetanas cuidadosamente seleccionadas, incluyendo:
-
La 9ª Convención Mundial de Parlamentarios sobre el Tíbet (WPCT)
-
La política educativa impuesta por China en la Región Autónoma del Tíbet (RAT)
-
Un libro recientemente publicado por el 14º Dalai Lama
Estos correos contienen archivos adjuntos o enlaces que aparentan ser documentos informativos o reportajes relacionados con estas temáticas, pero en realidad distribuyen archivos maliciosos camuflados con documentos legítimos de Microsoft Word, artículos de sitios tibetanos y fotografías del WPCT.
Malware utilizado: Claimloader, PUBLOAD y Pubshell
El archivo ejecutable camuflado en el señuelo utiliza la técnica de carga lateral de DLL para iniciar una cadena de infección que incluye:
-
Claimloader: un stager personalizado que ejecuta código malicioso inicial en el sistema objetivo.
-
PUBLOAD: una herramienta de descarga de shellcode que se comunica con un servidor C2 (comando y control) para recuperar cargas útiles adicionales.
-
Pubshell: una puerta trasera ligera que facilita el acceso remoto a través de una shell inversa, permitiendo ejecutar comandos en la máquina infectada.
Esta arquitectura modular permite al atacante mantener un perfil bajo y escalar privilegios en función de los objetivos y la infraestructura comprometida.
Diferencias de nomenclatura y evolución de herramientas
La terminología utilizada por los investigadores puede variar según la fuente. Por ejemplo:
-
IBM X-Force identifica Claimloader como el stager y PUBLOAD como el downloader.
-
Trend Micro, por su parte, agrupa ambas herramientas bajo el nombre de PUBLOAD.
-
TeamT5 las rastrea colectivamente como NoFive.
Independientemente de la nomenclatura, los análisis coinciden en que estas herramientas forman parte del arsenal habitual de Mustang Panda y muestran una evolución técnica progresiva.
Conexiones con el subgrupo Hive0154 y objetivos en Asia
IBM ha atribuido esta campaña al subgrupo de Mustang Panda denominado Hive0154, un actor activo desde finales de 2024 que también ha dirigido ataques contra Estados Unidos, Filipinas, Pakistán y Taiwán. Las tácticas son consistentes: correos de spear-phishing que enlazan a archivos maliciosos alojados en plataformas como Google Drive, lo que facilita la entrega de malware como TONESHELL (en 2024) y PUBLOAD (en 2025).
TONESHELL, otra herramienta clave en el repertorio de Mustang Panda, también crea shells inversos para ejecución remota, pero Pubshell representa una versión más ligera, aunque menos sofisticada. Una diferencia destacable es que Pubshell requiere comandos adicionales para devolver resultados, y solo admite ejecución mediante
1 | cmd.exe |
.
Propagación vía dispositivos USB: HIUPAN como vector secundario
En el contexto de los ataques a Taiwán, se ha observado el uso de un gusano USB llamado HIUPAN (también conocido como MISTCLOAK o U2DiskWatch). Este malware permite propagar Claimloader y PUBLOAD a través de memorias USB infectadas, una táctica que aumenta el alcance de infección incluso en redes aisladas o con medidas estrictas de seguridad.
Este enfoque indica que los actores están preparados para adaptarse a entornos con controles avanzados, lo que refuerza la evaluación de Hive0154 como un actor APT altamente capacitado.
Alta sofisticación técnica y persistencia
Hive0154 demuestra una capacidad continua de innovación en el desarrollo de malware, con:
-
Uso frecuente de subgrupos coordinados
-
Ciclos de desarrollo acelerados
-
Amplia gama de herramientas modulares
-
Técnicas combinadas de spear-phishing, carga lateral de DLL y propagación por USB
Estas características posicionan a Mustang Panda como una de las amenazas cibernéticas más relevantes en la región de Asia-Pacífico, especialmente para gobiernos, entidades diplomáticas y organizaciones de derechos humanos.
Mustang Panda refuerza su ofensiva cibernética contra el Tíbet
La campaña dirigida por Mustang Panda contra la comunidad tibetana revela una clara intención geopolítica por parte de actores vinculados al Estado chino. El uso de ingeniería social altamente segmentada, combinado con herramientas de malware avanzadas como Claimloader, PUBLOAD y Pubshell, demuestra un alto grado de planificación y precisión.
Esta ofensiva, atribuida al subgrupo Hive0154, pone de manifiesto que los actores APT con respaldo estatal seguirán perfeccionando sus métodos, enfocándose en objetivos estratégicos en Asia y más allá. La comunidad internacional debe mantenerse alerta ante este tipo de amenazas, especialmente cuando se trata de proteger a poblaciones vulnerables o disidentes políticos.
Fuente: The Hacker News
