El actor de amenaza con sede en China, Mustang Panda, se ha convertido en uno de los grupos de espionaje cibernético más sofisticados que operan en el panorama de amenazas actual, con operaciones que datan de al menos 2014.
Este grupo avanzado de amenaza persistente (APT) ha dirigido sistemáticamente a entidades gubernamentales, organizaciones sin fines de lucro, instituciones religiosas y ONG en los Estados Unidos, Europa, Mongolia, Myanmar, Pakistán y Vietnam a través de campañas de plumas de lanza altamente personalizadas que aprovechan los libertades geopolíticos y locales.
El arsenal del grupo incluye una colección diversa de familias de malware, que van desde herramientas establecidas como TIGX, Poison Ivy y Toneshell hasta variantes más nuevas como FDMTP y PTSocket, todos diseñados específicamente para evadir los mecanismos defensivos modernos de punto final.
Las operaciones de Mustang Panda obtuvieron una atención significativa a principios de 2025, cuando el Departamento de Justicia de los Estados Unidos y las autoridades francesas neutralizaron con éxito las infecciones LugX que habían comprometido más de 4,200 dispositivos a través de unidades USB maliciosas, lo que demuestra el extenso alcance global del grupo y la comercialización en evolución.
Las campañas del actor de amenaza se caracterizan por su enfoque en la recopilación de inteligencia a largo plazo en lugar de una ganancia financiera inmediata, lo que las hace particularmente peligrosas para las organizaciones específicas.
Analistas de seguridad de PICUS identificado El enfoque sofisticado del grupo para mantener la persistencia y evadir la detección a través de múltiples vectores de ataque y técnicas esteganográficas.
El impacto de Mustang Panda se extiende más allá del delito cibernético tradicional, ya que sus actividades patrocinadas por el estado contribuyen a operaciones de inteligencia geopolítica más amplias.
Su capacidad para adaptarse y evolucionar sus técnicas los ha convertido en una amenaza persistente para la infraestructura crítica y las comunicaciones gubernamentales sensibles en todo el mundo.
Técnicas de ejecución avanzadas y tácticas de vida
Mustang Panda demuestra un dominio excepcional para aprovechar las utilidades legítimas de Windows para ejecutar cargas útiles maliciosas mientras evade la detección.
El grupo emplea ampliamente los archivos adjuntos de phishing de lanza que se disfrazan de documentos legítimos, particularmente abusando de archivos de Windows LNK (atajo) disfrazados de documentos de Word o PDF.
Cuando las víctimas abren estos archivos adjuntos, los archivos LNK ejecutan comandos que inician binarios maliciosos mientras mantienen la apariencia de archivos de confianza.
Se ha observado a los actores de amenaza utilizando msiexec.exe, una utilidad legítima del instalador de Windows, para entregar y ejecutar cargas útiles maliciosas con dos ventajas clave: la ejecución de la vida en la tierra a través de una utilidad de sistema confiable y entrega de carga sigilosa sin activar alertas típicas de ejecución de archivos.
Su estructura de comando sigue patrones como:-
msiexec.exe /q /i “%tmp%\ in.sys”
Esta técnica ejecuta los instaladores en modo tranquilo mientras suprime las indicaciones del usuario, lo que permite a los atacantes caer y ejecutar DLLs o ejecutables maliciosos bajo la apariencia de la instalación legítima del software.
Además, Mustang Panda emplea técnicas de carga lateral de DLL, colocando DLL maliciosas en directorios donde las aplicaciones de confianza las cargan automáticamente en lugar de bibliotecas legítimas.
Este enfoque permite la ejecución bajo la cobertura de binarios firmados como los componentes de defensa de Microsoft, reduciendo significativamente la probabilidad de detección al tiempo que establece la persistencia y el sigilo dentro de los entornos comprometidos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
