Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa Mustang Panda została powiązana z kampaniami cyberwywiadowczymi wymierzonymi w indyjskie instytucje rządowe oraz podmioty związane z sektorem hydroenergetycznym. Na szczególną uwagę zasługuje wykorzystanie legalnej usługi chmurowej Zoho WorkDrive jako kanału komunikacji z malware oraz do eksfiltracji danych, co utrudnia wykrycie operacji i maskuje złośliwy ruch jako zwykłą aktywność biznesową.
W skrócie
Analitycy opisali dwie aktywne kampanie przypisywane Mustang Panda, których celem były podmioty administracyjne i energetyczne w Indiach. Ataki opierały się na archiwach ZIP dostarczanych prawdopodobnie przez spear phishing, zawierających złośliwe biblioteki DLL ukryte obok legalnych plików wykonywalnych.
W kampanii wykorzystano trzy kluczowe komponenty: loader SHARDLOADER, implant MINIRECON oraz narzędzie ZOHOMURK, które używa konta Zoho WorkDrive do odbierania poleceń i przesyłania wykradzionych danych. Zainteresowanie napastników miały wzbudzać informacje dotyczące współpracy hydroenergetycznej oraz relacji obronnych Indii z Tajwanem.
Kontekst / historia
Mustang Panda od lat pojawia się w raportach threat intelligence jako aktor prowadzący długotrwałe operacje szpiegowskie przeciwko administracji publicznej, dyplomacji i infrastrukturze krytycznej. Opisana kampania wpisuje się w rosnący trend nadużywania legalnych usług SaaS do ukrywania infrastruktury dowodzenia i kontroli oraz ograniczania skuteczności tradycyjnych mechanizmów filtracji.
W analizowanych działaniach istotne było dopasowanie przynęt do profilu ofiar. Nazwy plików i tematyka dokumentów miały odnosić się do współpracy hydroenergetycznej i relacji między instytucjami indyjskimi a tajwańskimi, co wskazuje na staranny rekonesans i dobrze przygotowaną socjotechnikę.
Analiza techniczna
Łańcuch infekcji rozpoczynał się od dostarczenia archiwum ZIP zawierającego legalny, podpisany plik wykonywalny oraz złośliwą bibliotekę DLL. Taki zestaw umożliwiał przeprowadzenie DLL sideloadingu, czyli uruchomienie szkodliwego kodu z użyciem zaufanego procesu. W jednej z kampanii użyto pliku Solid PDF Creator, a w drugiej binarki Citrix Receiver.
SHARDLOADER pełnił rolę pierwszego etapu infekcji i odpowiadał za załadowanie kolejnego payloadu. Następnie uruchamiany był MINIRECON, opisywany jako zmodyfikowany wariant backdoora Toneshell. Komunikacja implantu miała odbywać się przez WebSocket zestawiany po HTTPS, co utrudnia odróżnienie ruchu złośliwego od legalnej komunikacji aplikacyjnej.
Najbardziej charakterystycznym elementem kampanii był ZOHOMURK. Komponent zawierał osadzone poświadczenia OAuth do Zoho i korzystał z kontrolowanego przez napastników konta WorkDrive jako pośredniego repozytorium poleceń. Mechanizm przypominał model dead-drop resolver: malware odczytywał instrukcje z jednego katalogu, a wyniki działania i skradzione dane zapisywał w innym.
Analitycy wskazali również elementy wspierające atrybucję kampanii, takie jak podobieństwa kodu do wcześniejszych narzędzi grupy, ponowne użycie łańcucha sideloadingu, zbieżności infrastrukturalne oraz powtarzający się błąd w nazwie „RunOnece”, widoczny w wielu implantach. Beaconing miał być obserwowany między 12 a 22 czerwca 2026 roku.
Konsekwencje / ryzyko
Największe ryzyko wynika z faktu, że atakujący nie muszą wykorzystywać klasycznych serwerów C2 ani domen o niskiej reputacji. Użycie legalnej platformy SaaS utrudnia blokowanie ruchu na poziomie sieciowym i może pozwolić na ominięcie polityk bezpieczeństwa opartych na listach dozwolonych usług.
W środowiskach administracji publicznej i infrastruktury krytycznej taki model działania zwiększa szansę na długotrwałą, niezauważoną obecność przeciwnika. Zagrożenie obejmuje nie tylko kradzież dokumentów, lecz także rekonesans środowiska, profilowanie użytkowników, identyfikację procesów decyzyjnych i przygotowanie kolejnych etapów operacji.
Dodatkowym problemem jest brak jednej konkretnej poprawki, która rozwiązałaby incydent. Źródłem ryzyka nie jest tutaj pojedyncza podatność, lecz połączenie phishingu, sideloadingu, legalnych binarek i nadużycia chmurowych usług przechowywania danych.
Rekomendacje
Organizacje powinny wzmocnić ochronę poczty elektronicznej oraz kontrolę archiwów dostarczanych do użytkowników, zwłaszcza plików ZIP zawierających legalne aplikacje i dodatkowe biblioteki DLL. Warto wdrożyć reguły wykrywające nietypowe przypadki DLL sideloadingu oraz uruchamianie podpisanych plików wykonywalnych z nieoczekiwanych lokalizacji.
Kluczowe znaczenie ma także monitorowanie procesów końcowych pod kątem komunikacji z usługami chmurowymi, z których dany host lub aplikacja zazwyczaj nie korzysta. Szczególną uwagę należy zwrócić na procesy niebędące przeglądarkami, które łączą się z interfejsami API usług SaaS, używają WebSocketów po HTTPS lub wykazują nietypowe wzorce ruchu.
- analiza kluczy autostartu i zadań harmonogramu pod kątem mechanizmów utrwalania obecności malware,
- wdrożenie EDR lub XDR z telemetrią procesów potomnych, ładowanych bibliotek i połączeń sieciowych,
- korelacja zdarzeń dotyczących legalnych aplikacji uruchamiających nietypowe biblioteki,
- polowanie na wskaźniki kompromitacji powiązane z opisaną kampanią,
- szkolenia użytkowników w zakresie spear phishingu wykorzystującego tematy geopolityczne,
- segmentacja dostępu do usług chmurowych oraz stosowanie zasady najmniejszych uprawnień.
W sektorach wysokiego ryzyka, takich jak administracja i energetyka, warto rozszerzyć monitoring o analizę nietypowych interakcji z platformami przechowywania plików, nawet jeśli są one powszechnie używane i uznawane za zaufane.
Podsumowanie
Opisana kampania pokazuje, że współczesne operacje cyberwywiadowcze coraz częściej wykorzystują legalne usługi chmurowe jako element infrastruktury operacyjnej. Mustang Panda połączyła klasyczne techniki dostępu początkowego i DLL sideloadingu z nowym komponentem używającym Zoho WorkDrive do komunikacji C2 i eksfiltracji danych.
Dla obrońców oznacza to konieczność przesunięcia uwagi z samego blokowania podejrzanych domen na analizę kontekstu użycia legalnych usług, zachowania procesów i anomalii w ruchu aplikacyjnym. W środowiskach rządowych i krytycznych tego typu kampanie należy traktować jako zagrożenie o wysokim znaczeniu operacyjnym.