Una campaña de ciberespionaje aprovecha la guerra para propagar el malware Hodur

  • Endpoint

Mustang Panda, el grupo de ciberespionaje que está detrás de esta amenaza, aprovecha la guerra de Ucrania y otros temas de actualidad europea para atacar a entidades públicas y ONGs. La mayoría de las víctimas se encuentran en el este y el sudeste asiático, pero algunas están en Europa.

ESET Research ha descubierto una campaña de ciberespionaje del grupo APT Mustang Panda que utiliza una variante del malware Korplug, bautizada como Hodur, y que abusa de los últimos acontecimientos en Europa. Entre las víctimas conocidas se encuentran entidades de investigación, proveedores de servicios de Internet (ISPs) y misiones diplomáticas europeas situadas en su mayoría en el este y el sudeste asiático.

Las víctimas de esta campaña son atraídas con documentos de phishing relativos a la guerra de Ucrania y otros temas de actualidad europea. Uno de los nombres de archivo relacionados con esta campaña es "Situation at the EU borders with Ukraine.exe". Otros cebos de phishing mencionan la actualización de las restricciones de viaje provocadas por el COVID-19, un mapa de ayuda regional aprobado para Grecia y un Reglamento del Parlamento y el Consejo Europeo. El señuelo final es un documento real disponible en el sitio web del Consejo Europeo.

“Basándose en las similitudes del código y en los muchos puntos en común con Tácticas, Técnicas y Procedimientos observadas anteriormente, los investigadores de ESET atribuyen esta campaña con una elevada confianza a Mustang Panda, también conocido como TA416, RedDelta o PKPLUG. Se trata de un grupo de ciberespionaje que se dirige principalmente a entidades gubernamentales y ONGs", explica Alexandre Côté Cyr, investigador de malware de ESET y quién descubrió Hodur.

Las campañas de Mustang Panda utilizan con frecuencia loaders personalizados para, después, propagar el malware, como Cobalt Strike, Poison Ivy y Korplug (también conocido como PlugX). El grupo también es conocido por crear sus propias variantes de Korplug.

Siguiendo la victimología típica de la APT, la mayoría de las víctimas se encuentran en el este y el sudeste asiático, junto con algunos países europeos y africanos. Según la telemetría de ESET, la gran mayoría de los objetivos se encuentran en Mongolia y Vietnam, seguidos de Myanmar, y sólo unos pocos en otros países afectados, como Grecia, Chipre, Rusia, Sudán del Sur y Sudáfrica.

TAGS Malware, APT, Hacker