Mustang Panda, el grupo de ciberespionaje que está detrás de la nueva campaña de malware Hodur, está aprovechando la guerra de Ucrania y otros temas de actualidad europea para extraer documentos de phishing, entre otros.

Sobre ello, ESET Research ha dado a conocer que entre las víctimas conocidas se encuentran entidades de investigación, proveedores de servicios de Internet (ISPs) y misiones diplomáticas europeas situadas en su mayoría en el este y el sudeste asiático.

“Los investigadores de ESET atribuyen esta campaña con una elevada confianza a Mustang Panda, también conocido como TA416, RedDelta o PKPLUG. Se trata de un grupo de ciberespionaje que se dirige principalmente a entidades gubernamentales y ONGs”, explica Alexandre Côté Cyr, investigador de malware de ESET y quién descubrió Hodur.

Malware Hodur

La invasión ha provocado que más de tres millones de residentes huyan de la guerra a los países vecinos, según ACNUR, provocando una crisis sin precedentes en las fronteras de Ucrania. Uno de los nombres de archivo relacionados con esta campaña es “Situation at the EU borders with Ukraine.exe”.

ESET descubre el malware Hodur en una campaña de ciberespionaje que aprovecha la invasión de Ucrania y otros problemas europeos

Otros cebos de phishing mencionan la actualización de las restricciones de viaje provocadas por el Covid-19, un mapa de ayuda regional aprobado para Grecia y un Reglamento del Parlamento y el Consejo Europeo. El señuelo final es un documento real disponible en el sitio web del Consejo Europeo. Esto demuestra que el grupo APT que está detrás de esta campaña sigue la actualidad y es capaz de reaccionar con éxito y rapidez ante ella.

Investigación de ESET

Aunque los investigadores de ESET no han podido identificar los sectores a los que pertenecen todas las víctimas, esta campaña parece tener los mismos objetivos que otras campañas anteriores de Mustang Panda.

Siguiendo la victimología típica de la APT, la mayoría de las víctimas se encuentran en el este y el sudeste asiático, junto con algunos países europeos y africanos. Según la telemetría de ESET, la gran mayoría de los objetivos se encuentran en Mongolia y Vietnam, seguidos de Myanmar, y sólo unos pocos en otros países afectados, como Grecia, Chipre, Rusia, Sudán del Sur y Sudáfrica. Los sectores verticales identificados incluyen misiones diplomáticas, entidades de investigación y proveedores de servicios de Internet.

Las campañas de Mustang Panda utilizan con frecuencia loaders personalizados para, después, propagar el malware , como Cobalt Strike, Poison Ivy y Korplug. El grupo también es conocido por crear sus propias variantes de Korplug.



Source link