Cyberthreat.id – Kelompok APT yang disponsori China, Mustang Panda atau TA416 meluncurkan kampanye spearphishing untuk mengirimkan malware khusus yang disimpan di Google Drive ke organisasi pemerintah, penelitian, dan akademik di seluruh dunia.

Menurut peneliti keamanan dari Trend Micro, seranngan tersebut telah diamati antara Maret dan Oktober 2022. Dengan menargetkan sebagian besar organisasi di Australia, Jepang, Taiwan, Myanmar, dan Filipina.

Dikutip dari Bleeping Computer, para peneliti mengatakan, kelompok peretas ini menggunakan akun Google untuk mengirim pesan email target mereka dengan umpan yang menipu mereka untuk mengunduh malware khusus dari tautan Google Drive. Mereka menggunakan pesan dengan subjek geopolitik dan kebanyakan dari mereka (84%) menargetkan organisasi pemerintah/hukum.

Untuk melewati mekanisme keamanan, tautan tersemat mengarah ke folder Google Drive atau Dropbox, keduanya merupakan platform resmi dengan reputasi baik yang biasanya tidak terlalu mencurigakan. Tautan ini mengarah pada pengunduhan file terkompresi (RAR, ZIP, JAR) dengan jenis malware khusus seperti ToneShell, ToneIns, dan PubLoad.

"Subjek email mungkin kosong atau mungkin memiliki nama yang sama dengan arsip berbahaya, daripada menambahkan alamat korban ke tajuk "To" email, pelaku ancaman menggunakan email palsu untuk alamat korban sebenarnya ditulis di tajuk "CC", guna menghindari analisis keamanan dan memperlambat penyelidikan,” kata peneliti Trend Micro.

Meskipun peretas menggunakan berbagai rutinitas pemuatan malware, proses tersebut biasanya melibatkan pemuatan samping DLL setelah korban meluncurkan hadiah yang dapat dieksekusi di arsip. Dokumen umpan ditampilkan di latar depan untuk meminimalkan kecurigaan.

Peneliti mengatakan, ada tiga jenis malware yang digunakan dalam kampanye ini adalah PubLoad, ToneIns, dan ToneShell. Dari tiga bagian malware khusus yang digunakan dalam kampanye, hanya PubLoad yang sebelumnya didokumentasikan dalam laporan Cisco Talos dari Mei 2022 yang menjelaskan kampanye terhadap target Eropa.

PubLoad adalah stager yang bertanggung jawab untuk membuat persistensi dengan menambahkan kunci registri dan membuat tugas terjadwal, mendekripsi kode shell, dan menangani komunikasi perintah dan kontrol (C2).

Trend Micro mengatakan bahwa versi PubLoad yang lebih baru menampilkan mekanisme anti-analisis yang lebih canggih, menyiratkan bahwa Mustang Panda secara aktif bekerja untuk meningkatkan alat tersebut.

ToneIns adalah penginstal untuk ToneShell, pintu belakang utama yang digunakan dalam kampanye baru-baru ini. Itu menggunakan kebingungan untuk menghindari deteksi dan memuat ToneShell sambil juga membangun kegigihan pada sistem yang disusupi. ToneShell adalah backdoor mandiri yang dimuat langsung di memori, menampilkan pengaburan aliran kode melalui penerapan penangan pengecualian khusus.

Setelah terhubung ke C2, ToneShell mengirimkan paket dengan data ID korban dan kemudian menunggu instruksi baru. Perintah ini memungkinkan mengunggah, mengunduh, dan mengeksekusi file, membuat shell untuk pertukaran data intranet, mengubah konfigurasi tidur, dan banyak lagi.

“Ini juga berfungsi sebagai mekanisme anti-kotak pasir, karena pintu belakang tidak akan dijalankan di lingkungan debug,” kata peneliti.

Dalam laporan tersebut, peneliti juga menyebutkan, jika kampanye terbaru ini menampilkan teknik, taktik, dan prosedur (TTP) Mustang Panda yang sama seperti yang dilaporkan Secureworks pada September 2022. Kampanye ini menunjukkan tanda-tanda peningkatan perangkat dan kemampuan untuk berkembang, yang meningkatkan kemampuan peretas China untuk mengumpulkan intelijen dan menembus target.

Awal tahun ini, Proofpoint melaporkan bahwa Mustang Panda memfokuskan operasinya di Eropa, menargetkan para diplomat berpangkat tinggi. Sementara itu, laporan Secureworks dari sekitar waktu yang sama melihat kampanye Mustang Panda terpisah, kali ini menargetkan pejabat Rusia.

Pada bulan Maret 2022, ESET menjelajahi operasi Mustang Panda di Asia Tenggara, Eropa Selatan, dan Afrika, menunjukkan bahwa geng spionase China merupakan ancaman global meskipun memiliki ledakan aktivitas terfokus jangka pendek.