Analisi delle nuove backdoor, keylogger e strumenti kernel usati dal gruppo APT cinese per bypassare controlli di sicurezza e garantire accesso persistente.
Autore: Redazione SecurityOpenLab
Il gruppo APT cinese Mustang Panda conferma la propria reputazione di threat actor sofisticato attraverso un costante aggiornamento del proprio arsenale offensivo. Un’analisi dettagliata condotta da Zscaler ThreatLabz rivela modifiche sostanziali a strumenti preesistenti e l’introduzione di nuove componenti progettate per bypassare i controlli di sicurezza, garantire l’esfiltrazione dei dati e mantenere l’accesso persistente alle reti compromesse.
Lo studio, pubblicato in due parti sul blog aziendale (1 e 2), assume particolare rilevanza per la community della sicurezza informatica poiché fornisce Indicatori di Compromissione e meccanismi operativi fondamentali per il contrasto a un threat actor celebre per le campagne di spionaggio informatico su scala globale, per gli attacchi contro importanti istituzioni governative e realtà industriali in oltre venti paesi.
La ricerca di Zscaler si concentra su cinque elementi chiave dell’arsenale recente di Mustang Panda: la backdoor ToneShell, i keylogger PAKLOG e CorKLOG, il driver kernel SplatCloak e lo strumento per il lateral movement StarProxy. Insieme concorrono a concretizzare un approccio modulare che combina strumenti legacy rielaborati con nuove soluzioni evasive.
Iniziamo con l’analisi della cassetta degli attrezzi da ToneShell, la backdoor storica del gruppo, ora disponibile in tre varianti aggiornate con meccanismi di comunicazione avanzati. Le versioni recenti adottano un protocollo FakeTLS che simula traffico cifrato legittimo, grazie all’impiego di header specifici per emulare TLSv1.2 e TLSv1.3, così da eludere i sistemi di rilevamento basati su firme di rete. In termini più semplici, FakeTLS è un meccanismo di evasione delle difese di rete che imita superficialmente il traffico TLS (Transport Layer Security), un protocollo di cifratura ampiamente utilizzato per proteggere dati sensibili (per esempio nelle transazioni bancarie). A differenza del TLS reale, che negozia una connessione sicura attraverso un handshake complesso e una cifratura robusta, FakeTLS simula solo parti del protocollo, come appunto l’uso di header iniziali, non implementa gli algoritmi crittografici avanzati del TLS legittimo. Quello che fa tuttavia è sufficiente per evitare controlli approfonditi da parte di sistemi di intrusion detection (IDS) o dei firewall, poiché a una prima analisi il traffico sembra cifrato.
Mustang Panda utilizza FakeTLS per nascondere le comunicazioni con il server di comando e controllo. Come vedremo in seguito, per esempio nello strumento StarProxy il gruppo inserisce header FakeTLS in pacchetti contenenti comandi remoti, in modo da sfruttare la fiducia accordata al protocollo TLS nelle reti aziendali.
Ogni istanza del malware genera un identificatore univoco per la macchina compromessa, memorizzato in percorsi diversificati quali per esempio la directory %temp% o la cartella pubblica degli utenti, usando nomi file camuffati da componenti di sistema. Le versioni aggiornate di questo malware permettono agli attaccanti di controllare da remoto il computer della vittima (tramite una connessione che parte dal dispositivo infetto verso l’attaccante), modificare o copiare file sul sistema colpito e nascondere codice dannoso all’interno di programmi legittimi per evitare la detection. I dati rubati vengono protetti con un codice segreto che cambia in continuazione, generato automaticamente dal malware tramite un sistema basato sull’orario del computer infetto.
Passiamo a StarProxy, lo strumento che Mustang Panda utilizza per spostarsi lateralmente tra computer compromessi all’interno di una rete. Il malware si nasconde in un programma legittimo chiamato IsoBurner.exe, che appena avviato dall’utente carica StarProxy in memoria sfruttando una tecnica chiamata sideloading. Permette agli attaccanti di inviare comandi da un computer infetto all’altro (per rubare dati o installare altri malware). Per non farsi scoprire, maschera il traffico malevolo con gli header FakeTLS spiegati sopra. Comandi e file esfiltrati vengono cifrati con una chiave semplice (XOR) sempre uguale, della lunghezza di 256 caratteri.
Il meccanismo di beaconing (sfruttando un processo che si installa in memoria, consente lo svolgimento di una nutrita serie di funzioni fra cui l’esecuzione di comandi, il key logger, l’esfiltrazione e l’upload di file, l’escalation dei privilegi, i movimenti laterali e altro) utilizza un algoritmo di cifratura personalizzato che incorpora valori temporali estratti tramite la funzione GetLocalTime(), in modo da rendere difficile l’identificazione tramite pattern statici.
PAKLOG e CorKLOG sono i due keylogger, potenziati con tecniche di offuscamento avanzate. Il primo annota sequenze di tasti e contenuti degli appunti in un file nascosto (record.txt) all’interno della cartella pubblica, applicando una macchinosa trasformazione matematica ai caratteri catturati. Inoltre garantisce persistenza attraverso la creazione di servizi Windows o scheduled task con nomi apparentemente innocui.
Infine SplatCloak, il componente più recente, si presenta come driver kernel in grado di disabilitare soluzioni EDR e antivirus. Distribuito tramite un dropper (SplatDropper) che sfrutta il sideloading di BugSplatHD64.exe, questo strumento opera a basso livello per individuare e neutralizzare i meccanismi di protezione. La sua logica include la risoluzione dinamica degli indirizzi delle routine di sistema, l’identificazione dei driver di Windows Defender e la ricerca di componenti Kaspersky attraverso l’analisi dei certificati digitali associati. Per ostacolare l’analisi statica, il codice incorpora inoltre tecniche di offuscamento avanzate come il control flow flattening e l’aritmetica booleana mista, descritte in dettaglio nella seconda parte del report Zscaler.
Mustang Panda continua a privilegiare il sideloading di DLL malevole attraverso eseguibili firmati, tra cui mrender.exe (firmato da JUNYUN LIMITED) e gpgconf.exe (firmato da g10 Code GmbH), per abusare della fiducia accordata ai certificati digitali validi. L’infrastruttura C2 identificata dagli analisti include domini e indirizzi IP riconducibili a hosting provider asiatici, con URL contenenti stringhe pseudo-casuali architettate ad arte per confondere gli analisti.
Per contrastare queste minacce, Zscaler raccomanda di monitorare attentamente il caricamento di driver con certificati revocati, di implementare regole YARA per la detection degli algoritmi di encoding peculiari di PAKLOG. Gli esperti raccomandano inoltre di analizzare il traffico TLS alla ricerca di incongruenze negli header, con particolare attenzione ai pacchetti con dimensioni anomale o sequenze di byte incoerenti con le specifiche TLS. Per le organizzazioni a rischio, le priorità includono poi l’aggiornamento continuo delle firme di rete, il patching dei sistemi di decodifica TLS e l’implementazione di soluzioni EDR capaci di monitorare le attività a livello kernel.