Mustang Panda übernimmt Rechner – Mustang Panda takes over computers

Diese ermöglicht den Angreifern, beliebige Befehle auf dem Rechner des Opfers auszuführen. Im Fokus stehen dabei politische und staatliche Organisationen, allen voran eine Regierungseinrichtung in Taiwan. Seit dem Einmarsch Russlands in der Ukraine hat Mustang Panda seine Aktivitäten deutlich gesteigert.

Mustang Panda (auch bekannt als HoneyMyte, Bronze President oder Red Delta) ist laut Erkenntnissen von Blackberry eine APT-Gruppe, die öffentlich als in China ansässig beschrieben wird. Diese Gruppe führte bereits 2012 Malware-Kampagnen durch, die in erster Linie der Cyberspionage dienten.

MQsTTang: Beweis für schnellen Entwicklungszyklus

MQsTTang ist eine einfache Backdoor, die es dem Angreifer ermöglicht, beliebige Befehle auf dem Rechner des Opfers auszuführen und die Ausgabe zu erfassen. Die Malware verwendet das MQTT-Protokoll für die Command-and-Control-Kommunikation.

MQTT wird in der Regel für die Kommunikation zwischen IoT-Geräten und Steuerungen verwendet. Bislang wurde das Protokoll nur in wenigen, öffentlich dokumentierten Malware-Familien eingesetzt.

MQsTTang wird in RAR-Archiven verteilt, die nur eine einzige ausführbare Datei enthalten. Diese ausführbaren Dateien haben normalerweise Dateinamen, die mit Diplomatie und Pässen zu tun haben.

„Anders als die meiste Malware der Gruppe scheint MQsTTang nicht auf bestehenden Malware-Familien oder öffentlich verfügbaren Projekten zu basieren“, sagt ESET-Forscher Alexandre Côté Cyr, der die laufende Kampagne entdeckt hat. „Diese neue Backdoor bietet eine Art Remote-Shell ohne den ganzen Schnickschnack, der mit den anderen Malware-Familien der Gruppe verbunden ist. Sie zeigt jedoch, dass Mustang Panda neue Technologie-Stacks für seine Tools erforscht“, erklärt er.

„Es bleibt abzuwarten, ob diese Backdoor zu einem wiederkehrenden Bestandteil ihres Arsenals wird. Auf jeden Fall ist sie ein weiteres Beispiel für den schnellen Entwicklungs- und Einsatzzyklus der Gruppe“, schließt Côté Cyr.

Diese Backdoor ist Teil einer laufenden Kampagne, die wir bis Anfang Januar 2023 zurückverfolgen können. Im Gegensatz zu den meisten Malware-Programmen der Gruppe scheint MQsTTang nicht auf bestehenden Familien oder öffentlich verfügbaren Projekten zu basieren.

Mustang Panda ist bekannt für seine angepassten Korplug-Varianten (auch PlugX genannt) und ausgeklügelte Ladeketten. In Abweichung von der üblichen Taktik der Gruppe hat MQsTTang nur eine einzige Stufe und verwendet keine Verschleierungstechniken.

Wie von Forschern bei Proofpoint dokumentiert, ist Mustang Panda seit mindestens 2020 dafür bekannt, europäische Regierungseinrichtungen ins Visier zu nehmen. Die Aktivitäten in Europa wurden seit dem Einmarsch Russlands in die Ukraine sogar noch weiter verstärkt.

Eset-Forscher fanden Archive mit Samples von MQsTTang in zwei GitHub-Repositories, die dem Benutzer YanNaingOo0072022 gehören. Ein weiteres GitHub-Repository desselben Benutzers wurde in einer früheren Mustang-Panda-Kampagne verwendet, die von Avast in einem Blogpost vom Dezember 2022 beschrieben wurde.

Auf einem der in der aktuellen Kampagne verwendeten Server wurde ein öffentlich zugänglicher anonymer FTP-Server betrieben, der offenbar zur Bereitstellung von Tools und Payloads verwendet wird. Im Verzeichnis /pub/god dieses Servers befinden sich mehrere Korplug-Loader, Archive und Tools, die in früheren Mustang-Panda-Kampagnen verwendet wurden.

Es handelt sich um dasselbe Verzeichnis, das von dem im oben genannten Avast-Blogpost beschriebenen Stager verwendet wurde. Dieser Server verfügte auch über ein Verzeichnis /pub/gd, das ein weiterer in dieser Kampagne verwendeter Pfad war.

Einige der in dieser Kampagne verwendeten Infrastrukturen stimmen auch mit dem Netzwerk-Fingerabdruck von bereits bekannten Mustang-Panda-Servern überein.

Technische Analyse

MQsTTang ist eine einfache Backdoor, die es dem Angreifer ermöglicht, beliebige Befehle auf dem Rechner des Opfers auszuführen und die entsrpechende Ausgabe zu erlangen. Dennoch weist sie einige interessante Merkmale auf. Dazu gehört vor allem die Verwendung des MQTT-Protokolls für die C&C-Kommunikation. MQTT wird in der Regel für die Kommunikation zwischen IoT-Geräten und Steuerungen verwendet, und das Protokoll wurde noch nicht von vielen öffentlich dokumentierten Malware-Familien genutzt. Ein solches Beispiel ist Chrysaor, auch bekannt als Pegasus für Android.

Aus der Sicht eines Angreifers besteht einer der Vorteile von MQTT darin, dass es den Rest seiner Infrastruktur hinter einem Broker verbirgt. Somit kommuniziert der kompromittierte Rechner nie direkt mit dem C&C-Server. Diese Fähigkeit wird durch die Verwendung der Open-Source-Bibliothek QMQTT erreicht. Diese Bibliothek hängt vom Qt-Framework ab, von dem ein großer Teil statisch in die Malware eingebunden ist. Die Verwendung des Qt-Frameworks für die Malware-Entwicklung ist ebenfalls recht ungewöhnlich.

This enables attackers to execute arbitrary commands on the victim’s computer. The focus is on political and governmental organizations, first and foremost a governmental institution in Taiwan. Since Russia’s invasion of Ukraine, Mustang Panda has significantly increased its activities.

Mustang Panda (also known as HoneyMyte, Bronze President, or Red Delta) is an APT group publicly described as based in China, according to Blackberry’s findings. This group conducted malware campaigns primarily for cyber espionage back in 2012.

MQsTTang: evidence of rapid development cycle

MQsTTang is a simple backdoor that allows the attacker to execute arbitrary commands on the victim’s machine and capture the output. The malware uses the MQTT protocol for command-and-control communication.

MQTT is typically used for communication between IoT devices and controllers. So far, the protocol has only been used in a few publicly documented malware families.

MQsTTang is distributed in RAR archives that contain only a single executable file. These executables typically have filenames related to diplomacy and passports.

„Unlike most of the malware in the group, MQsTTang does not appear to be based on existing malware families or publicly available projects,“ said ESET researcher Alexandre Côté Cyr, who discovered the ongoing campaign.

„This new backdoor provides a kind of remote shell without all the bells and whistles associated with the other malware families in the group. However, it shows that Mustang Panda is exploring new technology stacks for its tools,“ he explained. „It remains to be seen whether this backdoor will become a recurring part of their arsenal. In any case, it is another example of the group’s rapid development and deployment cycle,“ concludes Côté Cyr.

This backdoor is part of an ongoing campaign that we can trace back to early January 2023. Unlike most of the group’s malware, MQsTTang does not appear to be based on existing families or publicly available projects.

Mustang Panda is known for its customized Korplug variants (also called PlugX) and sophisticated load chains. In a departure from the group’s usual tactics, MQsTTang has only a single stage and does not use obfuscation techniques.

As documented by researchers at Proofpoint, Mustang Panda has been known to target European government facilities since at least 2020. Its activities in Europe have even increased since Russia’s invasion of Ukraine.

Eset researchers found archives containing samples of MQsTTang in two GitHub repositories owned by user YanNaingOo0072022. Another GitHub repository belonging to the same user was used in an earlier Mustang Panda campaign described by Avast in a December 2022 blog post.

One of the servers used in the current campaign operated a publicly accessible anonymous FTP server that appears to be used to deploy tools and payloads. The /pub/god directory of this server contains several corplug loaders, archives and tools used in previous Mustang Panda campaigns.

This is the same directory that was used by the stager described in the Avast blog post above. This server also had a /pub/gd directory, which was another path used in this campaign.

Some of the infrastructure used in this campaign also matches the network fingerprint of already known Mustang Panda servers.

Technical analysis

MQsTTang is a simple backdoor that allows the attacker to execute arbitrary commands on the victim’s machine and obtain the corresponding output. Nevertheless, it has some interesting features. First and foremost, this includes the use of the MQTT protocol for C&C communication. MQTT is typically used for communication between IoT devices and controllers, and the protocol has not been used by many publicly documented malware families. One such example is Chrysaor, also known as Pegasus for Android.

From an attacker’s perspective, one of the advantages of MQTT is that it hides the rest of its infrastructure behind a broker. Thus, the compromised machine never communicates directly with the C&C server. This capability is achieved by using the open source QMQTT library. This library depends on the Qt framework, much of which is statically included in the malware. The use of the Qt framework for malware development is also quite unusual.