В последнее время две APT-группировки, связанные с Китаем, активно атакуют объекты и страны, имеющие отношения к Ассоциации государств Юго-Восточной Азии (ASEAN). Они действуют в рамках кампании кибершпионажа, которая длится уже не меньше трёх месяцев. Одна из группировок, известная как Mustang Panda, была замечена в кибератаках против Мьянмы и других азиатских стран, используя вредоносное ПО PlugX, получившее название DOPLUGS.
Mustang Panda, также отслеживаемая под такими названиями, как Camaro Dragon, Earth Preta и Stately Taurus, – направляла фишинговые письма для распространения вредоносных программ в Мьянме, Филиппинах, Японии и Сингапуре. Эти действия совпали с проведением Специального саммита ASEAN-Австралия, что указывает на целенаправленность данных атак.
Аналитики Palo Alto Networks сообщилио двух типах распространяемого вредоносного ПО. Первое – это ZIP-файл, содержащий исполняемый файл “Talking_Points_for_China.exe”, который при запуске подгружает вредоносную библиотеку “KeyScramblerIE.dll”, в конечном итоге активируя вирус PUBLOAD, часто используемый хакерами Mustang Panda.
Второе вредоносное ПО – это файл “Note PSO.scr”, который извлекает зловредный код из удалённого адреса, в том числе программу с заверенной подписью одной из крупных компаний-производителей видеоигр, замаскированную под “WindowsUpdate.exe”.
Кроме того, был обнаружен сетевой трафик между объектом, связанным с ASEAN, и инфраструктурой управления второй китайской группировки APT, указывая на возможное проникновение в систему. Эта группировка, также атаковавшая Камбоджу, пока остаётся необозначенной со стороны исследователей.
Китайские киберпреступники в последнее время действуют как никогда активно и изощрённо. Так, отдельное внимание привлекает новый китайский актор киберугроз под названием Earth Krahang, недавно атаковавший 116 объектов в 45 странах. С своих атаках группировка использовала целевой фишинг и уязвимости в серверах Openfire и Oracle для доставки специализированного вредоносного ПО, такого как PlugX, ShadowPad, ReShell и DinodasRAT.
Активность этой группировки демонстрирует сильную ориентацию на Юго-Восточную Азию и перекрёстное взаимодействие с другим актором, известным как Earth Lusca, оба из которых могут управляться одним и тем же лицом, связанным с китайским государственным подрядчиком I-Soon.