黑客的威胁行为者 Mustang Panda 已成为当前威胁形势下最复杂的网络间谍组织之一,其行动至少可以追溯到 2014 年。
这个高级持续威胁 (APT) 组织通过利用地缘政治和当地语言诱饵的高度定制的鱼叉式网络钓鱼活动,系统地针对美国、欧洲、蒙古、缅甸、巴基斯坦和越南的政府实体、非营利组织、宗教机构和非政府组织。
该组织的武器库包括各种恶意软件家族,从 PlugX、Poison Ivy 和 Toneshell 等成熟工具到 FDMTP 和 PTSOCKET 等较新的变体,所有这些都是专门为规避现代端点防御机制而设计的。
Mustang Panda 的业务在 2025 年初引起了广泛关注,当时美国司法部和法国当局成功消除了 PlugX 感染,这些感染已通过恶意 USB 驱动器危害了 4,200 多台设备,展示了该组织广泛的全球影响力和不断发展的贸易技巧。
威胁行为者的活动的特点是专注于长期情报收集而不是直接经济利益,这使得它们对目标组织特别危险。
Picus Security 分析师发现了该组织通过多种攻击媒介和隐写技术保持持久性和逃避检测的复杂方法。
Mustang Panda 的影响超出了传统的网络犯罪范围,因为它们的国家支持的活动有助于更广泛的地缘政治情报行动。
它们适应和发展技术的能力使它们成为全球关键基础设施和敏感政府通信的持续威胁。
先进的执行技术和离地生活策略
Mustang Panda 在利用合法的 Windows 实用程序执行恶意负载同时逃避检测方面表现出卓越的熟练程度。
该组织广泛使用伪装成合法文档的鱼叉式网络钓鱼附件,特别是滥用伪装成 Word 文档或 PDF 的 Windows LNK(快捷方式)文件。
当受害者打开这些附件时,LNK 文件会执行启动恶意二进制文件的命令,同时保持受信任文件的外观。
据观察,威胁行为者利用合法的 Windows Installer 实用程序 Msiexec.exe 来传递和执行具有两个关键优势的恶意有效负载:通过受信任的系统实用程序进行离地执行和秘密交付有效负载而不触发典型的文件执行警报。
他们的命令结构遵循以下模式:
msiexec.exe /q /i "%TMP%\in.sys"该技术在安静模式下运行安装程序,同时抑制用户提示,允许攻击者以合法软件安装为幌子丢弃和执行恶意 DLL 或可执行文件。
此外,Mustang Panda 采用 DLL 侧载技术,将恶意 DLL 放置在受信任应用程序自动加载它们而不是合法库的目录中。
这种方法可以在 Microsoft Defender 组件等签名二进制文件的掩护下执行,从而显着降低检测概率,同时在受感染的环境中建立持久性和隐蔽性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
