- Onderzoekers van ESET hebben MQsTTang geanalyseerd, een nieuwe custom backdoor die toegeschreven wordt aan de aan China gelieerde Mustang Panda ATP-groep.
- Bevestigde doelwitten bevinden zich in Bulgarije en Australië, en er is een waarschijnlijk doelwit in Taiwan.
- Door de aard van de gebruikte decoy-bestandsnamen denken ESET-onderzoekers dat politieke en overheidsorganisaties in Europa en Azië ook een doelwit zijn.
- De malware gebruikt het MQTT-protocol voor Command and Control communicatie. MQTT wordt meestal gebruikt voor communicatie tussen Internet of Things (IoT) apparaten en controllers. Dit protocol is nog niet in veel openbaar gedocumenteerde malwarefamilies gebruikt.
- MQsTTang wordt verspreid in RAR-archieven die slechts één executable bevatten. Deze executables hebben meestal namen die verband houden met diplomatie en paspoorten.
Sliedrecht, 2 maart 2023 - ESET-onderzoekers hebben recentelijk MQsTTang geanalyseerd, een nieuwe custom backdoor die toegeschreven wordt aan de aan China gelieerde Mustang Panda APT-groep. De backdoor maakt deel uit van een lopende campagne die ESET kan herleiden tot begin januari 2023. ESET Research heeft in onze telemetrie ontdekt dat onder andere (onbekende) entiteiten in Bulgarije en Australië het doelwit zijn. ESET heeft tevens aanwijzingen dat Mustang Panda zich richt op een overheidsinstelling in Taiwan. Door de aard van de gebruikte decoy-bestandsnamen geloven ESET-onderzoekers dat ook politieke- en overheidsorganisaties in Europa en Azië het doelwit zijn. De Mustang Panda-campagne loopt nog steeds en gaat gepaard met meer activiteit van Mustang Panda in Europa sinds de invasie van Rusland in Oekraïne.
"In tegenstelling tot de meeste malware van Mustang panda, lijkt MQsTTang niet gebaseerd te zijn op bestaande families of openbaar beschikbare projecten," zegt ESET-onderzoeker Alexandre Côté Cyr, die de lopende campagne ontdekte. "Deze nieuwe MQsTTang backdoor biedt een soort remote shell zonder de toeters en bellen die geassocieerd worden met de andere malwarefamilies van de groep. Het laat echter zien dat Mustang Panda nieuwe technology stacks onderzoekt voor zijn tools," legt hij uit. "Het valt nog te bezien of deze backdoor een terugkerend onderdeel van hun arsenaal wordt, maar het is opnieuw een voorbeeld van de snelle development- en deployment-cyclus van deze groep," besluit Côté Cyr.
Op basis van onze telemetrie kan ESET Research bevestigen dat onbekende entiteiten in Bulgarije en Australië het doelwit zijn. Daarnaast lijkt een overheidsinstelling in Taiwan een doelwit te zijn. De victimologie is onduidelijk, maar de decoy-bestandsnamen doen ESET geloven dat politieke- en overheidsorganisaties in Europa en Azië eveneens een doelwit zijn. Dit zou overeenkomen met het doelwit van de laatste campagnes van de groep.
MQsTTang is een barebones backdoor waarmee de aanvaller willekeurige commando's kan uitvoeren op het apparaat van het slachtoffer en de output kan vastleggen. De malware gebruikt het MQTT-protocol voor Command-and-Control-communicatie. MQTT wordt gewoonlijk gebruikt voor communicatie tussen IoT-apparaten en controllers, en het protocol is niet gebruikt in veel openbaar gedocumenteerde malwarefamilies.
MQsTTang wordt gedistribueerd in RAR-archieven die slechts één executable bevatten. Deze executables hebben meestal bestandsnamen die verband houden met diplomatie en paspoorten.
Bekijk voor meer technische informatie over MQsTTang de blogpost "MQsTTang: Mustang Panda's latest backdoor treads new ground with Qt and MQTT" op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor het leveren van uitgebreide, meerlaagse bescherming tegen cyberdreigingen voor bedrijven, kritieke infrastructuur en consumenten wereldwijd. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET is sinds haar oprichting pionier op het gebied van machine learning en cloud technologieën die malware voorkomen, detecteren en erop reageren. ESET is een particulier bedrijf dat wereldwijd wetenschappelijk onderzoek & ontwikkeling bevordert. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.