Gusano USB SnakeDisk
Mustang Panda, un actor de amenazas aliado de China, ha implementado nuevas herramientas en sus campañas de ciberespionaje. Investigadores han documentado recientemente el uso de una puerta trasera TONESHELL mejorada junto con un gusano USB previamente desconocido llamado SnakeDisk. Ambas incorporaciones refuerzan la reputación del grupo como uno de los adversarios estatales más persistentes.
Tabla de contenido
¿Quién está detrás de los ataques?
Expertos en ciberseguridad monitorean esta actividad bajo el clúster Hive0154, un nombre genérico vinculado a Mustang Panda. Este clúster también se conoce con varios alias, como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus y Twill Typhoon.
La evidencia indica que Mustang Panda ha estado activo desde al menos 2012, llevando a cabo operaciones centradas en el espionaje en nombre de intereses estatales chinos.
SnakeDisk: Un gusano USB sigiloso
SnakeDisk es un gusano recientemente identificado que se propaga mediante la carga lateral de DLL. Pertenece a la familia de malware TONESHELL y presenta claras similitudes con otro gusano USB, TONEDISK (también conocido como WispRider).
Entre sus principales capacidades se encuentran:
- Monitoreo de dispositivos USB conectados para detectar oportunidades de propagación.
- Mover archivos USB existentes a un subdirectorio oculto y luego reemplazarlos con un ejecutable malicioso disfrazado como el nombre del volumen del dispositivo o simplemente USB.exe.
- Restaurar los archivos originales una vez que el malware se activa en un nuevo sistema, lo que reduce las sospechas.
Una característica sorprendente es su geofencing: SnakeDisk solo se ejecuta en dispositivos con direcciones IP basadas en Tailandia, lo que limita su alcance de ataque.
Yokai: The Backdoor Entregado por SnakeDisk
SnakeDisk actúa como mecanismo de entrega para Yokai, una puerta trasera que configura un shell inverso para ejecutar comandos arbitrarios. Reportado por primera vez en diciembre de 2024, Yokai estuvo vinculado a campañas contra funcionarios tailandeses.
El malware comparte similitudes técnicas con otras familias de puertas traseras atribuidas a Hive0154, como PUBLOAD/PUBSHELL y TONESHELL. Si bien son cepas distintas, estas familias utilizan estructuras y técnicas similares para comunicarse con servidores de comando y control (C2).
Enfoque estratégico en Tailandia
Las reglas de selección de objetivos integradas en SnakeDisk y el despliegue de Yokai sugieren firmemente que un subgrupo de Mustang Panda se está concentrando principalmente en Tailandia. Esto apunta a una estrategia refinada y operaciones a medida en el Sudeste Asiático.
Un ecosistema de malware vasto y en evolución
Hive0154 destaca por su capacidad para mantener un ecosistema de malware amplio e interconectado. Sus operaciones demuestran:
- Superposiciones frecuentes en códigos maliciosos y técnicas de ataque.
- Experimentación continua con subclústeres y malware especializado.
- Un ritmo consistente de ciclos de desarrollo, resaltando la adaptabilidad.
El arsenal en constante evolución de Mustang Panda subraya el compromiso a largo plazo del actor de amenazas de mejorar sus capacidades de espionaje mientras agudiza su enfoque regional.
