ESET araştırmacıları, Çin’e bağlı Mustang Panda APT grubuna atfettikleri özel bir arka kapı olan MQsTTang’ı analiz etti. Bu arka kapı, ESET’in 2023 Ocak ayı başlarına kadar izini sürebileceği devam eden bir kampanyanın parçasıdır.
Alt süreçleri ve yürütülen görevleri gösteren yürütme grafiği
Araştırmacılar, Bulgaristan ve Avustralya’daki bilinmeyen varlıkları telemetrilerinde hedef olarak gördüler. Ayrıca Mustang Panda’nın Tayvan’da bir devlet kurumunu hedef aldığına dair bilgileri de var. Araştırmacılar, kullanılan sahte dosya adlarının doğası gereği Avrupa ve Asya’daki siyasi ve hükümet kuruluşlarının da hedef alındığına inanıyor. Mustang Panda kampanyası bu yazı itibariyle devam ediyor ve grup, Rusya’nın Ukrayna’yı işgal etmesinden bu yana Avrupa’daki etkinliğini artırdı.
Devam eden kampanyayı keşfeden ESET araştırmacısı Alexandre Côté Cyr, “Grubun çoğu kötü amaçlı yazılımının aksine, MQsTTang mevcut ailelere veya halka açık projelere dayalı görünmüyor” diyor.
“Bu yeni MQsTTang arka kapısı, grubun diğer kötü amaçlı yazılım aileleriyle ilişkili çan ve ıslıkların hiçbiri olmadan bir tür uzak kabuk sağlıyor. Ancak bu, Mustang Panda’nın araçları için yeni teknoloji yığınları keşfettiğini gösteriyor” diye açıklıyor. Côté Cyr, “Bu arka kapının cephaneliklerinin tekrar eden bir parçası haline gelip gelmeyeceği henüz belli değil, ancak bu, grubun hızlı geliştirme ve konuşlandırma döngüsünün bir başka örneği,” diye sözlerini bitiriyor Côté Cyr.
Araştırmacılar, telemetrilerine dayanarak Bulgaristan ve Avustralya’daki bilinmeyen varlıkların hedef alındığını doğrulayabilirler. Ayrıca Tayvan’da bir devlet kurumu da hedef olarak görünüyor. Mağduriyet belirsiz, ancak sahte dosya adları ESET’i Avrupa ve Asya’daki siyasi ve hükümet kuruluşlarının da hedef alındığına inandırıyor. Bu aynı zamanda grubun en son kampanyalarının hedeflenmesiyle de uyumlu olacaktır.
MQsTTang, saldırganın kurbanın makinesinde rasgele komutlar yürütmesine ve çıktıyı almasına izin veren bir barebone arka kapıdır. Kötü amaçlı yazılım, Komuta ve Kontrol iletişimi için MQTT protokolünü kullanır. MQTT genellikle IoT cihazları ve denetleyiciler arasındaki iletişim için kullanılır ve protokol, kamuya açık olarak belgelenmiş pek çok kötü amaçlı yazılım ailesinde kullanılmamıştır.
MQsTTang, yalnızca tek bir yürütülebilir dosya içeren RAR arşivlerinde dağıtılır. Bu yürütülebilir dosyaların genellikle diplomasi ve pasaportlarla ilgili dosya adları vardır.