Detección de Backdoor MQsTTang: Nuevo Malware Personalizado por el APT Mustang Panda Utilizado Activamente en la Última Campaña Contra Entidades Gubernamentales

¡Nuevo día, nueva amenaza maliciosa desafiando a los defensores cibernéticos! Recientemente, investigadores de seguridad han revelado una nueva cepa de malware que está siendo activamente aprovechada por el APT Mustang Panda en su campaña en curso contra objetivos en Europa y Asia. Apodado MQsTTang, el nuevo backdoor personalizado ha sido desarrollado desde cero para pasar desapercibido y hacer más difícil la atribución mientras ataca entidades gubernamentales y políticas de interés para los atacantes.

Detección del Backdoor MQsTTang

Para detectar la actividad maliciosa en las primeras etapas del desarrollo del ataque y defender proactivamente la infraestructura organizacional de infecciones potenciales de MQsTTang, los profesionales de seguridad pueden aprovechar un conjunto de reglas Sigma disponibles en la Plataforma de SOC Prime para la defensa cibernética colectiva.

Posible Comportamiento del Backdoor MQsTTang [con Korplug Loader] Asociado al Grupo APT Mustang Panda al Detectar DLLs Asociadas (vía file_event)

La primera regla desarrollada por nuestro ávido miembro de Threat Bounty Aytek Aytemur identifica DLLs maliciosas relacionadas con el backdoor MQsTTang. La detección se puede aplicar en más de 20 plataformas de SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK v12 abordando las tácticas de Ejecución y Evasión de Defensa, con Ejecución de Usuario (T1204) e Inyección de Proceso (T1055) como técnicas correspondientes.

Nuevo Comportamiento Sospechoso del Backdoor de Mustang Panda [MQsTTang] por Detección de Clave de Registro Asociada (vía registry_event)

La segunda regla por el experimentado desarrollador de Threat Bounty Mustafa Gurkan KARAKAYA identifica actividades de persistencia del MQsTTang mediante la adición de una clave de registro. La regla es compatible con más de 15 soluciones de SIEM, EDR y XDR y está mapeada a MITRE ATT&CK v12 abordando la táctica de Evasión de Defensa con Modificar Registro (T1112) como técnica principal.

¿Deseoso de dominar tus habilidades de ingeniería de Detección mientras contribuyes a la seguridad mundial? Únete a las fuerzas del desarrollo de contenido colaborativo a través del Programa Threat Bounty para ayudar a la comunidad global de defensores cibernéticos a mantenerse por delante de los atacantes. Escribe tus propias reglas Sigma etiquetadas con ATT&CK, publícalas en la Plataforma SOC Prime y gana tanto dinero como reconocimiento de tus colegas de la industria.

Presiona el botón Explorar Detecciones abajo e inmediatamente profundiza en la colección completa de reglas Sigma para detectar herramientas y técnicas de ataque asociadas al colectivo APT Mustang Panda. Todos los algoritmos de detección están acompañados por las correspondientes referencias ATT&CK, enlaces de inteligencia sobre amenazas y otros metadatos relevantes.

Explorar Detecciones

Análisis del Backdoor MQsTTang

APT Mustang Panda (también conocido como TA416, Bronze President) es un colectivo APT de origen chino bien conocido por su familia de malware PlugX frecuentemente usado en operaciones de volcado de datos.

La última investigación de ESET revela la presencia de un nuevo backdoor que ha estado circulando en el ámbito malicioso desde al menos enero de 2023. La nueva amenaza parece haber sido desarrollada desde cero, sin superposición de código con muestras anteriores, por lo que los adversarios pueden eludir fácilmente las protecciones de seguridad durante las nuevas operaciones maliciosas.

La primera campaña de MQsTTang se lanzó a principios de 2023, y todavía está en curso, apuntando a entidades gubernamentales y diplomáticas en toda Europa y Asia. La cadena de ataque normalmente comienza con un correo electrónico de phishing que deja caer una carga útil maliciosa. Los ejecutables se entregan en forma de archivos RAR disfrazados como escaneos de pasaportes de miembros de misiones diplomáticas, notas de embajadas u otros cebos similares.

Una vez ejecutado, el malware crea una copia de sí mismo con un argumento de línea de comandos que realiza una variedad de tareas maliciosas, como iniciar comunicaciones de comando y control (C2), garantizar la persistencia, etc.

Notablemente, MQsTTang se basa en el protocolo MQTT para las comunicaciones C2. Este enfoque asegura la resistencia a la desarticulación de C2 y enmascara la infraestructura de los adversarios al enrutar todas las comunicaciones a través de un intermediario. Además, el uso de MQTT permite a los atacantes evadir la detección, ya que los profesionales de seguridad tienden a buscar los protocolos C2 más comunes mientras investigan incidentes.

Mantente adelantado a los adversarios con reglas Sigma curadas contra cualquier ataque APT actual o emergente. ¡Más de 900 reglas para herramientas y ataques relacionados con APT están al alcance de la mano! Obtén más de 200 de forma gratuita o accede a todo el contenido relevante de detección con On-Demand en my.socprime.com/pricing.