Introdução e contexto da campanha de espionagem
Um grupo de espionagem cibernética alinhado à China conhecido como Mustang Panda foi pego executando duas campanhas de ataque simultâneas contra alvos do governo e energia da Índia, usando um serviço de armazenamento em nuvem confiável como seu centro de comando oculto. O grupo implantou novas ferramentas de malware desenvolvidas para roubar dados silenciosamente enquanto fazia o tráfego malicioso se misturar com a atividade normal da nuvem. Os ataques focaram no setor de energia hidrelétrica da Índia e instituições governamentais envolvidas em cooperação bilateral.
Documentos de isca com temas em torno de uma proposta de cooperação em energia hidrelétrica e um memorando entre instituições indianas e taiwanesas foram usados para enganar as vítimas e executar o malware. O objetivo, segundo analistas, era coletar inteligência sobre os planos de energia hidrelétrica da Índia e suas relações de defesa com Taiwan. Pesquisadores da Acronis Threat Research Unit (TRU) disseram em um relatório que identificaram as campanhas e encontraram compromissos ativos dentro de redes governamentais indianas, incluindo máquinas usadas por pessoal administrativo sênior.
A Acronis trabalhou diretamente com o CERT-In na notificação e limpeza após descobrir as intrusões. O ator de ameaça introduziu três novas ferramentas de malware em ambas as campanhas. A primeira, chamada SHARDLOADER, é um carregador que é executado carregando uma DLL maliciosa através de um binário legítimo assinado, ou um executável Solid PDF Creator ou um binário Citrix Receiver dependendo da campanha.
As outras duas implantações, MINIRECON e ZOHOMURK, fazem a maior parte do trabalho uma vez que o carregador conclui sua tarefa. Isso se encaixa em um padrão claro e crescente de ataques. Em abril, a Acronis também vinculou o Mustang Panda a ataques ao setor bancário da Índia e círculos de política sul-coreanos através de uma campanha usando uma ferramenta chamada LOTUSLITE, também encenada através de um serviço de nuvem legítimo.
Técnicas de abuso de nuvem e persistência
ZOHOMURK é a peça mais incomum desta operação. Ele carrega credenciais OAuth do Zoho codificadas e as usa para executar uma conta WorkDrive controlada pelo atacante como um canal de comando covert. Ele lê instruções de uma pasta de entrada e escreve a saída roubada em uma pasta de saída. Porque o Zoho WorkDrive é amplamente usado em todo o setor governamental da Índia, esse tráfego se mistura quase perfeitamente com a atividade legítima.
MINIRECON é uma variante reescrita do backdoor Toneshell, documentado anteriormente pela IBM X-Force. Ele se comunica com servidores de atacantes através de uma conexão WebSocket em HTTPS, tornando-o mais difícil de detectar através do monitoramento de rede padrão. Ambas as implantações foram implantadas através da mesma cadeia SHARDLOADER, com variações menores entre as duas campanhas em termos de estrutura do carregador.
Ambas as campanhas chegaram como arquivos ZIP com a DLL maliciosa marcada como oculta. A Acronis acredita que os arquivos foram entregues através de e-mails de spear-phishing. A atribuição ao Mustang Panda foi feita com alta confiança, apoiada pela cadeia de sideloading reutilizada, sobreposições de código com amostras Toneshell documentadas e servidores de comando no mesmo bloco de rede que a IBM X-Force já vinculou ao grupo.
Um erro de digitação recorrente, RunOnece, encontrado em múltiplas implantações também serviu como uma impressão digital útil. A segurança operacional do lado do atacante foi notavelmente fraca. Tokens codificados, identificadores em texto claro e infraestrutura reutilizada ajudaram os analistas a rastrear e atribuir a atividade. O beaconing ativo foi observado de 12 a 22 de junho de 2026, dando aos defensores uma janela para procurar sinais de comprometimento durante esse período.
Indicadores de comprometimento e detecção
Não há patch disponível. A defesa vem de pegar o método de entrega e identificar o abuso de serviços em nuvem antes que os dados saiam da rede. A Acronis publicou indicadores e dicas de caça notando chaves de execução de persistência, uma tarefa agendada chamada SolidPDFPcl2Bmp e o domínio C2 couldinstallup[.]com como marcadores chave para observar. Agentes de usuário do Zoho aparecendo em processos não de navegador também são uma bandeira vermelha confiável.
Organizações governamentais e de energia, particularmente aquelas envolvidas em negociações transfronteiriças que poderiam atrair a atenção de Pequim, devem permanecer alertas a iscas geopolíticas e sideloading inesperado de binários assinados. Equipes de segurança também devem sinalizar qualquer processo de endpoint que comece a chamar APIs de nuvem que não tenham razão legítima para acessar.
Os indicadores de comprometimento incluem o domínio couldinstallup[.]com usado pelo implant MINIRECON, a tarefa agendada SolidPDFPcl2Bmp criada pelo SHARDLOADER e os nomes de arquivo pl2bmpax.dll e txMuiApp.dll. O endereço IP 199.209.141.166 é um indicador de servidor C2 no mesmo bloco AS vinculado ao Mustang Panda pela IBM X-Force.
Recomendações para CISOs
Monitorar o tráfego de nuvem para padrões incomuns de uso de API é crucial. A implementação de soluções de segurança de nuvem que detectam o uso anômalo de serviços legítimos pode ajudar a identificar essas campanhas. A revisão de permissões de aplicativo e a revogação de tokens OAuth não utilizados são passos importantes. Além disso, a educação dos usuários sobre phishing e a verificação de anexos de e-mail podem prevenir a fase inicial de infecção.
A colaboração com agências de inteligência e compartilhamento de indicadores de comprometimento com pares da indústria também é recomendada. A monitorização contínua de atividades de rede e a análise de logs de endpoint devem ser reforçadas para detectar movimentos laterais e exfiltração de dados. A implementação de políticas de acesso restrito e a segmentação de rede podem limitar o impacto de um comprometimento bem-sucedido.
Perguntas frequentes
Como o Mustang Panda entra na rede? Através de spear-phishing com documentos de isca. Qual o objetivo? Espionagem e roubo de dados governamentais. Existe patch? Não, a defesa é baseada em detecção e mitigação. Como detectar? Monitorar tráfego de nuvem e processos de endpoint incomuns.