ESET-onderzoekers hebben recentelijk MQsTTang geanalyseerd, een nieuwe custom backdoor die toegeschreven wordt aan de aan China gelieerde Mustang Panda APT-groep.
De backdoor maakt deel uit van een lopende campagne die ESET kan herleiden tot begin januari 2023. ESET Research heeft in onze telemetrie ontdekt dat onder andere (onbekende) entiteiten in Bulgarije en Australië het doelwit zijn. ESET heeft tevens aanwijzingen dat Mustang Panda zich richt op een overheidsinstelling in Taiwan. Door de aard van de gebruikte decoy-bestandsnamen geloven ESET-onderzoekers dat ook politieke- en overheidsorganisaties in Europa en Azië het doelwit zijn. De Mustang Panda-campagne loopt nog steeds en gaat gepaard met meer activiteit van Mustang Panda in Europa sinds de invasie van Rusland in Oekraïne.
“In tegenstelling tot de meeste malware van Mustang panda, lijkt MQsTTang niet gebaseerd te zijn op bestaande families of openbaar beschikbare projecten,” zegt ESET-onderzoeker Alexandre Côté Cyr, die de lopende campagne ontdekte. “Deze nieuwe MQsTTang backdoor biedt een soort remote shell zonder de toeters en bellen die geassocieerd worden met de andere malwarefamilies van de groep. Het laat echter zien dat Mustang Panda nieuwe technology stacks onderzoekt voor zijn tools,” legt hij uit. “Het valt nog te bezien of deze backdoor een terugkerend onderdeel van hun arsenaal wordt, maar het is opnieuw een voorbeeld van de snelle development- en deployment-cyclus van deze groep,” besluit Côté Cyr.
Op basis van onze telemetrie kan ESET Research bevestigen dat onbekende entiteiten in Bulgarije en Australië het doelwit zijn. Daarnaast lijkt een overheidsinstelling in Taiwan een doelwit te zijn. De victimologie is onduidelijk, maar de decoy-bestandsnamen doen ESET geloven dat politieke- en overheidsorganisaties in Europa en Azië eveneens een doelwit zijn. Dit zou overeenkomen met het doelwit van de laatste campagnes van de groep.
MQsTTang is een barebones backdoor waarmee de aanvaller willekeurige commando’s kan uitvoeren op het apparaat van het slachtoffer en de output kan vastleggen. De malware gebruikt het MQTT-protocol voor Command-and-Control-communicatie. MQTT wordt gewoonlijk gebruikt voor communicatie tussen IoT-apparaten en controllers, en het protocol is niet gebruikt in veel openbaar gedocumenteerde malwarefamilies.
MQsTTang wordt gedistribueerd in RAR-archieven die slechts één executable bevatten. Deze executables hebben meestal bestandsnamen die verband houden met diplomatie en paspoorten.
Bekijk voor meer technische informatie over MQsTTang de blogpost “MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT” op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws.