I ricercatori di ESET hanno individuato una nuova campagna di Mustang Panda, noti cybercriminali cinesi. Stavolta l’obiettivo è colpire organizzazioni politiche e governative in Europa e Asia (principalmente in Turchia e Ucraina) con la backdoor MQsTTang. Il malware viene distribuito tramite spear phishing. È necessario utilizzare una soluzione di sicurezza aggiornata per rilevare e bloccare questo tipo di minacce.
MQsTTang: nuova backdoor per Windows
Il nome assegnato alla backdoor deriva dall’uso del protocollo MQTT per le comunicazioni con il server C&C (command and control). La catena di infezione inizia con l’invio di email di spear phishing a target selezionati. In allegato c’è un archivio RAR con nomi che indicano documenti importanti. Al suoi interno c’è un singolo eseguibile che nasconde la backdoor.
All’avvio, MQsTTang crea una copia di se stesso con un comando che indica l’attività da eseguire, tra cui il collegamento con il server C&C e la creazione di una chiave nel registro di Windows per la persistenza (avvio automatico). Il codice del malware non è offuscato, ma sono state implementate alcune soluzioni evasive, come la ricerca di tool per il monitoraggio e il debugging.
Il protocollo MQTT viene solitamente usato per la comunicazione tra dispositivi IoT e controller, quindi il traffico di rete potrebbe essere considerato legittimo. È necessario utilizzare sistemi di protezione adatti e consigliare ai dipendenti di prestare attenzione alle email che sembrano avere un mittente affidabile.