Çin merkezli tehdit oyuncusu Mustang Panda, mevcut tehdit manzarasında faaliyet gösteren en siber casusluk gruplarından biri olarak ortaya çıktı ve operasyonlar en az 2014’e kadar uzanıyor.
Bu gelişmiş Kalıcı Tehdit (APT) grubu, jeopolitik ve yerel dillerden yararlanan son derece özel mızrak aklama kampanyaları aracılığıyla ABD, Avrupa, Moğolistan, Myanmar, Pakistan ve Vietnam’daki devlet kuruluşlarını, kar amacı gütmeyen kuruluşları, dini kurumları ve STK’ları sistematik olarak hedeflemiştir.
Grubun Arsenal’i, PLAGX, Poison Ivy ve Toneshell gibi yerleşik araçlardan FDMTP ve PTSocket gibi yeni varyantlara kadar çeşitli kötü amaçlı yazılım aileleri koleksiyonu içerir ve hepsi modern uç nokta savunma mekanizmalarından kaçınmak için tasarlanmıştır.
Mustang Panda’nın operasyonları, ABD Adalet Bakanlığı ve Fransız yetkililerin, kötü niyetli USB sürücüleri aracılığıyla 4.200’den fazla cihazı tehlikeye atan ve grubun kapsamlı küresel erişimini ve gelişen tradecraft’ı gösteren Plugx enfeksiyonlarını başarıyla etkisiz hale getirdiği 2025 yılının başlarında önemli ilgi gördü.
Tehdit oyuncusu kampanyaları, derhal finansal kazançtan ziyade uzun vadeli istihbarat toplantısına odaklanmaları ile karakterize edilir ve bu da onları hedeflenen kuruluşlar için özellikle tehlikeli hale getirir.
Picus güvenlik analistleri, grubun çoklu saldırı vektörleri ve steganografik teknikler aracılığıyla kalıcılığı koruma ve kaçınma tespitini koruma konusundaki sofistike yaklaşımını belirledi.
Mustang Panda’nın etkisi, devlet destekli faaliyetleri daha geniş jeopolitik zeka operasyonlarına katkıda bulunduğundan, geleneksel siber suçların ötesine uzanıyor.
Tekniklerini uyarlama ve geliştirme yetenekleri, onları dünya çapında kritik altyapı ve hassas hükümet iletişimi için sürekli bir tehdit haline getirdi.
Gelişmiş yürütme teknikleri ve arazi taktikleri
Mustang Panda, tespitten kaçınırken kötü amaçlı yükler yürütmek için meşru pencerelerden yararlanmada olağanüstü yeterlilik göstermektedir.
Grup, meşru belgeler olarak maskelenen, özellikle kelime belgeleri veya PDF’ler olarak gizlenmiş Windows LNK (kısayol) dosyalarını kötüye kullanan mızrak-akhis ekleri kullanır.
Mağdurlar bu ekleri açtıklarında, LNK dosyaları güvenilir dosyaların görünümünü korurken kötü niyetli ikili dosyaları başlatan komutlar yürütür.
Tehdit aktörleri, iki temel avantajla kötü amaçlı yükler sunmak ve yürütmek için meşru bir Windows yükleyici yardımcı programı olan msiexec.exe kullanılarak gözlemlenmiştir: Tipik dosya yürütme uyarılarını tetiklemeden güvenilir bir sistem yardımcı programı aracılığıyla arazi yürütme.
Komuta yapıları aşağıdakiler gibi kalıpları takip eder:-
msiexec.exe /q /i "%TMP%\in.sys"Bu teknik, kullanıcı istemlerini bastırırken, saldırganların meşru yazılım kurulumu kisvesi altında kötü amaçlı DLL’leri veya yürütülebilir dosyaları bırakmasına ve yürütmesine olanak tanır.
Buna ek olarak, Mustang Panda, güvenilir uygulamaların meşru kütüphaneler yerine otomatik olarak yüklendiği dizinlere kötü niyetli DLL’ler yerleştirerek DLL yan yükleme tekniklerini kullanır.
Bu yaklaşım, Microsoft Defender bileşenleri gibi imzalı ikili dosyaların kapağının altında yürütülmeyi sağlar ve tehlikeye atılan ortamlarda hem kalıcılık hem de gizli kurulurken algılama olasılığını önemli ölçüde azaltır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.