A Mustang Panda egy Kínához köthető kiberkémkedési csoport, amelynek fő célja az információgyűjtés, nem pedig a klasszikus pénzügyi zsarolás. Az Acronis elemzése szerint két párhuzamos műveletet futtattak Indiában. Az egyik a kormányzati hálózatokat, a másik a vízenergetikai célpontokat érintette. A támadások illeszkednek a csoport korábbi mintájába, ahol geopolitikai és állami érdeklődésű témákat használnak csaliként.
A fertőzés kezdetén ZIP csomagokat használtak, amelyekben rejtett rosszindulatú DLL-ek és legitimnek látszó futtatható fájlok voltak. A terjesztés célzott spear-phishinggel történt, vagyis az üzenetek tartalma a kiszemelt szervezetekhez és témákhoz volt igazítva. Az egyik csali a hidroszektorhoz kapcsolódó együttműködési javaslat, a másik pedig indiai és tajvani intézmények közötti megállapodás volt.
A támadók a DLL-sideloading technikát használták, vagyis egy megbízhatónak tűnő, aláírt programot indítottak el úgy, hogy az betöltötte a rosszindulatú DLL-t. Az Acronis három fő összetevőt azonosított: SHARDLOADER, MINIRECON és ZOHOMURK.
A SHARDLOADER egy betöltő, amely aláírt program mellé helyezett DLL-lel indítja a további payloadot. A MINIRECON a korábban ismert Toneshell backdoor újabb változata, amely HTTPS fölötti WebSocket kapcsolatot használ beaconingra. A ZOHOMURK az igazán érdekes elem, mert hardkódolt Zoho OAuth hitelesítő adatokkal dolgozik, és egy támadó által kontrollált WorkDrive fiókot használ. A Zoho WorkDrive ebben a kampányban C2 és adatkinyerési csatornaként működött, vagyis a támadók olyan felhőszolgáltatásba rejtették a forgalmat, amely a célországban amúgy is természetesnek számít. A támadó forgalma így „normális” felhőhasználatnak látszik, ezért nehezebb szűrni és korrelálni.
A kampányok célja az indiai vízenergia-tervek és az indiai-tajvani kapcsolatokkal összefüggő információk megszerzése volt. Aktív kompromittálódást találtak indiai kormányzati hálózatokban, köztük olyan gépeken is, amelyeket felsővezetői vagy adminisztratív személyzet használt. Ez arra utal, hogy a támadók nemcsak technikai rendszereket, hanem információs és döntéshozói környezetet is célba vettek.
Az Acronis nagy bizonyossággal a Mustang Pandához kötötte a támadást, többek között a kódöröklődés, az infrastruktúra-átfedések és az ismétlődő névhasználati minták alapján. Ilyen jel volt például a RunOnece elírás több implantban, valamint a korábbi Toneshell-lel közös mintázatok. A kampányhoz kapcsolódó C2 infrastruktúra ráadásul ugyanabba a hálózati tartományba esett, amelyet korábban más kutatók is a csoporthoz kötöttek.
A Mustang Panda láthatóan folytatja az indiai célpontok elleni, geopolitikailag motivált műveleteit. Áprilisban a csoport LOTUSLITE variánst használt India banki szektorában és dél-koreai politikai körökben, szintén legitim felhőszolgáltatás és célzott csalik segítségével. Ez a mintázat arra utal, hogy a csoport folyamatosan finomítja a taktikáit, de az alapelv ugyanaz marad: hitelesnek tűnő tartalommal becsapni a célpontot, majd a normális hálózati forgalomba rejteni a kémkedést.
