Die chinesische Hackergruppe Mustang Panda verstärkt Angriffe auf Ziele in Europa, Australien und Taiwan. Forscher des IT-Sicherheitsherstellers ESET haben eine Kampagne gefunden, die noch läuft. Diese Kampagne verwendet eine neu entwickelte Backdoor MQsTTang. Dadurch kann ein Angreifer beliebige Befehle auf dem Computer des Opfers ausführen. Der Fokus liegt auf politischen und nationalen Organisationen, insbesondere Regierungsbehörden in Taiwan. Der Mustang Panda hat seine Aktivität seit dem Einmarsch Russlands in die Ukraine erheblich gesteigert. MQsTTang: Nachweis des schnellen Entwicklungszyklus
MQsTTang ist eine einfache Hintertür, die es einem Angreifer ermöglicht, beliebige Befehle auf dem Computer eines Opfers auszuführen und die Ausgabe abzufangen. Diese Malware verwendet das MQTT-Protokoll für die Befehls- und Steuerungskommunikation. MQTT wird häufig für die Kommunikation zwischen IoT-Geräten und Controllern verwendet. Bisher wird dieses Protokoll nur von wenigen offiziell dokumentierten Malware-Familien verwendet.
MQsTTang wird in einem RAR-Archiv vertrieben, das nur eine ausführbare Datei enthält. Diese ausführbaren Dateien enthalten normalerweise Dateinamen, die sich auf Diplomatie und Pässe beziehen.
„Anders als die meisten Malware der Gruppe scheint MQsTTang nicht auf einer bestehenden Malware-Familie oder einem öffentlich zugänglichen Projekt zu basieren“, sagte ESET-Forscher Alexandre Côté Cyr, der die laufende Kampagne entdeckte. "Diese neue Hintertür bietet eine Remote-Shell, die nicht über die Funktionalität verfügt, die mit anderen Malware-Familien in der Gruppe verbunden ist. Sie weist jedoch darauf hin, dass Mustang Panda einen neuen Technologie-Stack für seine Tools untersucht. ", erklärt er. „Ob diese Hintertür Teil ihres Arsenals sein wird oder nicht, bleibt abzuwarten. In jedem Fall ist dies ein weiteres Beispiel für den schnellen Entwicklungs- und Bereitstellungszyklus der Gruppe“, schließt Côté Cyr.
Aktuell scheint sich der Zugriff auf nur auf Rechner zu konzentieren. Smartphone und Handys oder auch Router und Homespot sind mit dieser Malware wohl noch nicht im Fokus.