SnakeDisk USB-Wurm
Der mit China verbündete Bedrohungsakteur Mustang Panda hat für seine Cyberspionage-Kampagnen neue Tools eingeführt. Forscher dokumentierten kürzlich den Einsatz einer verbesserten TONESHELL-Backdoor zusammen mit einem bisher unbekannten USB-Wurm namens SnakeDisk. Beide Neuerungen untermauern den Ruf der Gruppe als einer der hartnäckigsten staatlich geförderten Angreifer.
Inhaltsverzeichnis
Wer steckt hinter den Angriffen?
Cybersicherheitsexperten überwachen diese Aktivitäten unter dem Cluster Hive0154, einem Dachnamen, der mit Mustang Panda verknüpft ist. Dieser Cluster ist auch unter mehreren Decknamen bekannt, darunter BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus und Twill Typhoon.
Es gibt Hinweise darauf, dass Mustang Panda seit mindestens 2012 aktiv ist und spionageorientierte Operationen im Auftrag chinesischer Staatsinteressen durchführt.
SnakeDisk: Ein heimlicher USB-Wurm
SnakeDisk ist ein neu identifizierter Wurm, der sich durch DLL-Sideloading verbreitet. Er gehört zur TONESHELL-Malware-Familie und weist deutliche Überschneidungen mit einem anderen USB-Wurm-Framework auf, TONEDISK (auch bekannt als WispRider).
Zu seinen Hauptfunktionen gehören:
- Überwachung angeschlossener USB-Geräte auf Verbreitungsmöglichkeiten.
- Verschieben vorhandener USB-Dateien in ein verstecktes Unterverzeichnis und anschließendes Ersetzen durch eine schädliche ausführbare Datei, die als Datenträgername des Geräts oder einfach als USB.exe getarnt ist.
- Durch die Wiederherstellung der Originaldateien, sobald die Malware auf einem neuen System ausgelöst wird, wird das Misstrauen verringert.
Ein auffälliges Merkmal ist das Geofencing: SnakeDisk wird nur auf Geräten mit IP-Adressen aus Thailand ausgeführt, wodurch der Zielbereich eingeschränkt wird.
Yokai: Die von SnakeDisk gelieferte Hintertür
SnakeDisk dient als Übermittlungsmechanismus für Yokai, eine Hintertür, die eine Reverse Shell zur Ausführung beliebiger Befehle einrichtet. Yokai wurde erstmals im Dezember 2024 gemeldet und stand im Zusammenhang mit Kampagnen gegen thailändische Beamte.
Die Malware weist technische Ähnlichkeiten mit anderen Backdoor-Familien auf, die Hive0154 zugeordnet werden, darunter PUBLOAD/PUBSHELL und TONESHELL. Obwohl es sich um separate Varianten handelt, verwenden diese Familien vergleichbare Strukturen und Techniken zur Kommunikation mit Command-and-Control-Servern (C2).
Strategischer Fokus auf Thailand
Die in SnakeDisk integrierten Zielregeln und der Einsatz von Yokai deuten stark darauf hin, dass sich eine Mustang Panda-Untergruppe stark auf Thailand konzentriert. Dies deutet auf eine ausgefeilte Strategie und maßgeschneiderte Operationen in Südostasien hin.
Ein riesiges und sich weiterentwickelndes Malware-Ökosystem
Hive0154 zeichnet sich durch seine Fähigkeit aus, ein großes, vernetztes Malware-Ökosystem aufrechtzuerhalten. Seine Aktivitäten zeigen:
- Häufige Überschneidungen bei Schadcode und Angriffstechniken.
- Laufende Experimente mit Subclustern und spezialisierter Malware.
- Ein gleichmäßiges Tempo der Entwicklungszyklen, das die Anpassungsfähigkeit betont.
Das sich entwickelnde Arsenal von Mustang Panda unterstreicht das langfristige Engagement des Bedrohungsakteurs, seine Spionagefähigkeiten auszubauen und gleichzeitig seinen regionalen Fokus zu schärfen.
