I ricercatori di ESET, leader globale nel mercato della cybersecurity, hanno analizzato MQsTTang, una nuova backdoor personalizzata riconducibile al gruppo APT Mustang Panda, affiliato alla Cina. Questa backdoor fa parte di una campagna in corso che, secondo ESET, è iniziata a inizio di gennaio 2023. La telemetria di ESET ha individuato come obiettivi soggetti sconosciuti in Bulgaria e Australia, raccogliendo informazioni che indicano come obiettivo anche un'istituzione governativa di Taiwan. A causa della natura dei nomi dei file esca utilizzati, i ricercatori di ESET ritengono che siano state prese di mira anche organizzazioni politiche e governative in Europa e in Asia. La campagna di Mustang Panda è ancora in corso e il gruppo ha intensificato l’attività in Europa dopo l'invasione dell'Ucraina da parte della Russia.
"A differenza della maggior parte di malware del gruppo, MQsTTang non sembra essere basato su famiglie esistenti o modelli già pubblici", afferma Alexandre Côté Cyr, ricercatore di ESET che ha individuato la campagna in corso. "Questa nuova backdoor MQsTTang fornisce una sorta di shell remota, senza i vantaggi e gli svantaggi associati alle altre tipologie di malware del gruppo. Tuttavia, dimostra che Mustang Panda sta esplorando nuovi stack tecnologici per i propri programmi", spiega. "Resta da vedere se questa backdoor diventerà una parte ricorrente del loro repertorio, ma è un ulteriore esempio del rapido ciclo di sviluppo e diffusione del gruppo", conclude Côté Cyr.
MQsTTang è una backdoor semplice che consente all'aggressore di eseguire comandi arbitrari sul computer della vittima e di catturarne l'output. Il malware utilizza il protocollo MQTT per la comunicazione Command and Control. MQTT è tipicamente utilizzato per la comunicazione tra dispositivi IoT e controller e il protocollo non è stato utilizzato in molte famiglie di malware documentate pubblicamente. MQsTTang viene distribuito in archivi RAR che contengono un solo eseguibile. Questi file hanno solitamente nomi legati alla diplomazia e ai passaporti.
Per ulteriori informazioni sulle tecniche utilizzate da MQsTTang, consultare il post "MQsTTang: Mustang Panda's latest backdoor treads new ground with Qt and MQTT" su WeLiveSecurity.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
Informazioni su ESET
Da oltre 30 anni, ESET® sviluppa software e servizi di sicurezza informatica leader del settore per proteggere le aziende, le infrastrutture critiche e i consumatori di tutto il mondo da minacce digitali sempre più sofisticate. Dalla sicurezza degli endpoint e dei dispositivi mobili al rilevamento e alla risposta degli endpoint, passando per la crittografia e l'autenticazione multifattoriale, le soluzioni ESET ad alte prestazioni e di facile utilizzo proteggono e monitorano in modo discreto 24 ore su 24, 7 giorni su 7, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro e le aziende funzionanti senza interruzioni. L'evoluzione delle minacce richiede un'azienda di sicurezza informatica in continua evoluzione che consenta un uso sicuro della tecnologia. Questo è supportato dai centri di ricerca e sviluppo di ESET in tutto il mondo, che lavorano a sostegno del nostro futuro comune. Per ulteriori informazioni, visitate il sito www.eset.com o seguiteci su LinkedIn, Facebook e Twitter.