Cyberthreat.id – Aktor ancaman yang disponsori pemerintah China Mustang Panda diamati telah menggunakan backdoor khusus bernama MQsTTang.

Menurut peneliti ESET Alexandre Côté Cyr, backdoor baru ini merupakan bagian dari kampanye rekayasa sosial yang sedang berlangsung yang dimulai pada Januari 2023.

“Tidak seperti kebanyakan malware grup, MQsTTang tampaknya tidak didasarkan pada keluarga yang ada atau proyek yang tersedia untuk umum,” ungkap Côté Cyr dalam laporan terbaru sesuai yang dikutip dari The Hacker News.

Côté Cyr mengatakan, rantai serangan yang diatur oleh kelompok tersebut telah meningkatkan penargetan entitas Eropa setelah invasi besar-besaran Rusia ke Ukraina tahun lalu. Korban dari aktivitas saat ini tidak jelas, tetapi perusahaan keamanan siber Slovakia mengatakan nama file umpan sejalan dengan kampanye grup sebelumnya yang menargetkan organisasi politik Eropa.

Meskipun demikian, ESET juga mengamati serangan terhadap entitas tak dikenal di Bulgaria dan Australia, serta lembaga pemerintah di Taiwan, yang menunjukkan fokus di Eropa dan Asia.

Seperti diketahui, Mustang Panda memiliki riwayat penggunaan trojan akses jarak jauh yang dijuluki PlugX untuk mencapai tujuannya, meskipun gangguan baru-baru ini membuat grup tersebut memperluas persenjataan malware-nya untuk menyertakan alat khusus seperti TONEINS, TONESHELL, dan PUBLOAD.

Pada bulan Desember 2022, Avast mengungkapkan serangkaian serangan lain yang ditujukan kepada lembaga pemerintah dan LSM politik di Myanmar yang menyebabkan eksfiltrasi data sensitif, termasuk dump email, file, sidang pengadilan, laporan interogasi, dan transkrip rapat, menggunakan varian PlugX yang disebut Hodur dan utilitas pengunggah Google Drive.

Terlebih lagi, sebuah server FTP yang terhubung dengan aktor ancaman telah ditemukan menjadi tuan rumah berbagai alat yang sebelumnya tidak berdokumen yang digunakan untuk mendistribusikan malware ke perangkat yang terinfeksi, termasuk trojan berbasis Go yang disebut JSX dan backdoor canggih yang disebut HT3.

Menurut peneliti, pengembangan MQsTTang menunjukkan kelanjutan dari tren itu, bahkan jika itu adalah backdoor satu tahap "barebones" tanpa teknik kebingungan apa pun yang memungkinkan untuk mengeksekusi perintah sewenang-wenang yang diterima dari server jarak jauh. Namun, aspek implan yang tidak biasa adalah penggunaan protokol pengiriman pesan IoT yang disebut MQTT untuk komunikasi perintah-dan-kontrol (C2), yang dicapai dengan menggunakan perpustakaan sumber terbuka yang disebut QMQTT, klien MQTT untuk aplikasi lintas platform Qt kerangka.

Vektor intrusi awal untuk serangan tersebut adalah spear-phishing, dengan MQTT didistribusikan melalui arsip RAR yang berisi satu file yang dapat dieksekusi yang menampilkan nama file dengan tema diplomatik (mis., "PDF_Passport dan CV anggota diplomatik dari Tokyo of JAPAN.eXE").

“Backdoor MQsTTang baru ini menyediakan semacam shell jarak jauh tanpa lonceng dan peluit apa pun yang terkait dengan keluarga malware grup lainnya, namun, itu menunjukkan bahwa Mustang Panda sedang mengeksplorasi tumpukan teknologi baru untuk peralatannya,” kata Côté Cyr.