Mustang Panda ataca Myanmar con StarProxy, EDR Bypass y actualizaciones de TONESHELL

El grupo de ciberespionaje vinculado a China, Mustang Panda (también conocido como BASIN, Bronze President, Camaro Dragon, entre otros), ha sido relacionado con un ataque dirigido a una organización en Myanmar, utilizando nuevas herramientas que demuestran un aumento en la sofisticación de sus campañas.

Entre las novedades destaca una versión mejorada del backdoor TONESHELL, ahora con un protocolo FakeTLS actualizado y nuevos métodos para crear y almacenar identificadores de cliente. Se han identificado tres variantes del malware: una actúa como shell inversa simple; otra permite la descarga y ejecución de DLLs a través de inyección en procesos legítimos; y una tercera que ejecuta comandos desde el servidor C2 mediante un protocolo TCP personalizado.

Además, se ha descubierto StarProxy, una herramienta de movimiento lateral que aprovecha el protocolo FakeTLS para redirigir tráfico entre dispositivos comprometidos y servidores C2. Usa sockets TCP y una encriptación XOR personalizada, y se lanza mediante DLL side-loading.

También se detectaron dos nuevos keyloggers, PAKLOG y CorKLOG. Ambos registran pulsaciones de teclado y contenido del portapapeles, aunque CorKLOG almacena los datos cifrados con RC4 y persiste mediante servicios o tareas programadas. No cuentan con mecanismos propios de exfiltración.

Finalmente, se ha identificado el uso de SplatCloak, un driver de kernel para Windows distribuido por SplatDropper, diseñado para evadir soluciones EDR como Windows Defender y Kaspersky, deshabilitando rutinas de seguridad y reforzando el sigilo del ataque.

Este informe coincide con otra revelación sobre el grupo UNC5221, también vinculado a China, que ha desplegado una nueva variante del malware BRICKSTORM —originalmente usado en servidores Linux—, ahora adaptado a entornos Windows. Este backdoor en Go permite manipular el sistema de archivos y hacer túneles de red a través de una consola, resolviendo C2 por medio de DNS-over-HTTPS, lo cual complica la detección. Aunque estas versiones no ejecutan comandos directamente, sí permiten movimiento lateral mediante protocolos como RDP o SMB, combinando túneles con credenciales válidas.

Fuente: thehackernews.com

You May Also Like

El Aterrador Malware StripeFly Conquista un Millón de Hosts Windows y Linux: ¿El Fin de la Ciberseguridad?

La reciente versión del troyano bancario TgToxic se actualiza con mejoras diseñadas para evitar el análisis.

Hackers que abusan de GitHub para evadir la detección y controlar hosts comprometidos