El panorama de la ciberseguridad fue testigo de una escalada significativa en julio de 2025 cuando el actor de amenaza alineado por China Hive0154, comúnmente conocido como Mustang Panda, desplegó nuevas variantes de malware sofisticadas diseñadas para violar los sistemas de aire.
Este grupo de amenazas persistente avanzado introdujo Snakedisk, un nuevo gusano USB, junto con una puerta trasera de Toneshell9 actualizada, que representa una evolución calculada en sus capacidades de ciber espionaje dirigido a las redes de Asia Oriental.
La campaña demuestra el enfoque estratégico de Mustang Panda en eludir las medidas de seguridad de la red tradicionales a través de métodos de propagación física.
Snakedisk opera con precisión geográfica, ejecutando solo en sistemas con direcciones IP con sede en Tailandia, lo que sugiere operaciones altamente específicas que coinciden con las recientes tensiones geopolíticas entre Tailandia y Camboya.
El mecanismo de activación selectiva del malware refleja la sofisticada seguridad operativa y el deseo del grupo de minimizar la exposición al tiempo que maximiza el impacto contra objetivos específicos.
Analistas de IBM identificado Estas variantes de malware a través de un análisis exhaustivo de archivos armados subidos desde Singapur y Tailandia a mediados de 2015.
Los investigadores descubrieron que SnakedIsk comparte superposiciones de código significativo con variantes anteriores de Tonedisk al tiempo que introducen técnicas de evasión mejoradas y capacidades de penetración de gafas de aire.
La implementación del gusano USB junto con la puerta trasera de Yokai indica una estrategia de infección de varias etapas diseñada para establecer un acceso persistente en entornos de red aislados.
La metodología operativa del actor de amenaza implica distribuir archivos armados a través de plataformas de almacenamiento en la nube como Box, a menudo disfrazadas como documentos legítimos de las agencias gubernamentales.
Estos archivos contienen software troyano que resuelve las DLL maliciosas, iniciando la cadena de infecciones. Una vez establecido, el malware establece la persistencia a través de tareas programadas y modificaciones de registro, asegurando el acceso continuo incluso después de reiniciar el sistema.
PDF que contiene enlace de descarga para el archivo armado de implementación de Toneshell7 (fuente – IBM)
La aparición de estas herramientas coincide con los conflictos fronterizos en aumento entre Tailandia y Camboya, lo que sugiere motivaciones patrocinadas por el estado detrás de la campaña.
La capacidad de Mustang Panda para desarrollar malware dirigido geográficamente demuestra sus capacidades técnicas avanzadas y operaciones de recopilación de inteligencia estratégica.
Propagación USB avanzada y mecanismos de penetración de la brecha de aire
SnakedISK emplea técnicas sofisticadas para armarse dispositivos USB y penetrar en los sistemas de aire aniquilado.
El malware comienza la ejecución analizando un archivo de configuración utilizando un algoritmo de descifrado XOR de dos fases personalizado con una clave de 320 bytes.
Esta configuración contiene 18 valores de cadena que definen los parámetros operativos del gusano, incluidas las estructuras de directorio, los nombres de archivos y los mecanismos de persistencia.
El proceso de infección por USB comienza con la detección integral de dispositivos utilizando la API de Windows IOCTL_STorage_Get_HotPlug_Info para identificar dispositivos de almacenamiento extraíbles.
Al detectar una unidad USB, SnakedIsk crea una estructura de archivos sofisticada que oculta los archivos originales del usuario dentro de los subdirectorios mientras coloca un ejecutable armado en el directorio raíz.
El malware utiliza los comandos de shfileOperationw y robocopy para reubicar los archivos existentes, como se demuestra en la siguiente operación:
robocopy: \: \\\ /xd “: \\” /xf “: \” /e /Move
Este proceso crea múltiples directorios ocultos con el sistema y atributos ocultos, ocultando efectivamente la infraestructura maliciosa mientras mantiene la apariencia de un dispositivo USB normal.
El gusano establece un bucle de mensajes de Windows para monitorear los eventos wm_devicechange, lo que permite la detección en tiempo real de la inserción USB y los eventos de eliminación.
Cuando se retira un dispositivo, SnakedISk desencadena la ejecución de la carga útil, dejando caer la puerta trasera de Yokai en el directorio C: \ Users \ public \ a través de una serie de archivos cifrados concatenados que reconstruyen el ejecutable malicioso final al despliegue.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
