El grupo Mustang Panda utiliza archivos RAR manipulados para desplegar el nuevo malware ToneShell
Publicado enAmenazas

El grupo Mustang Panda utiliza archivos RAR manipulados para desplegar el nuevo malware ToneShell

No hay comentarios

Mustang Panda emplea archivos RAR manipulados para distribuir el nuevo malware ToneShell

Investigadores en ciberseguridad han descubierto una nueva campaña del grupo de amenazas Mustang Panda, vinculado a China, que utiliza archivos RAR manipulados para desplegar una variante actualizada del malware ToneShell. Este grupo, conocido por sus ataques dirigidos contra gobiernos, organizaciones militares y ONG en Asia Oriental y Europa, ha refinado sus técnicas de evasión y persistencia.

Tácticas, técnicas y procedimientos (TTPs) empleados

El modus operandi de Mustang Panda en esta campaña incluye:

  • Ingeniería social avanzada: Los atacantes envían correos electrónicos con archivos RAR adjuntos que simulan ser documentos legítimos.
  • Archivos RAR ofuscados: Los contenedores RAR están diseñados para evadir detección, utilizando nombres genéricos y compresión múltiple.
  • ToneShell 2.0: La nueva versión del malware incorpora capacidades mejoradas de exfiltración de datos y ejecución remota de comandos.
  • Persistencia mediante servicios Windows: El malware se registra como servicio para mantener acceso persistente.

Análisis técnico de ToneShell

La última iteración de ToneShell presenta varias mejoras técnicas:

  • Comunicación C2 cifrada mediante TLS 1.3 con dominios generados algorítmicamente (DGA)
  • Módulo de keylogging mejorado que captura incluso combinaciones complejas de teclas
  • Capacidad de robo de credenciales de navegadores y clientes de correo
  • Mecanismo de autodestrucción que elimina artefactos cuando detecta análisis forense

Recomendaciones de mitigación

Para defenderse contra estas tácticas, las organizaciones deberían implementar:

  • Políticas estrictas de filtrado de archivos adjuntos, bloqueando formatos poco comunes como RAR
  • Análisis estático y dinámico de archivos en entornos sandbox antes de permitir su apertura
  • Segmentación de red para limitar el movimiento lateral
  • Monitorización continua de procesos sospechosos y creación de servicios inusuales

Esta campaña demuestra la continua evolución de los grupos APT patrocinados por estados, que adaptan constantemente sus herramientas y técnicas para evadir las defensas tradicionales. La combinación de ingeniería social sofisticada con malware altamente modular representa un desafío significativo para las organizaciones objetivo.

Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta