Título: Mustang Panda, ligado à China, implanta worm USB SnakeDisk avançado - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-09-16 07:54:13
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/mustang-panda-ligado-a-china-implanta-worm-usb-snakedisk-avancado-against-invaders-noticias-de-cybersecurity-para-humanos/919/

Mustang Panda, ligado &agrave; China, implanta worm USB SnakeDisk avan&ccedil;ado
O grupo APT Mustang Panda, vinculado &agrave; China, foi flagrado usando um novo worm USB chamado SnakeDisk, juntamente com uma nova vers&atilde;o de malware conhecido
Grupo APT vinculado &agrave; China Mustang Panda  (tamb&eacute;m conhecido como Hive0154,Camaro Drag&atilde;o,VermelhoDeltaouPresidente Bronze)foi detectado usando uma vers&atilde;o atualizada do CONCHA DE TOM backdoor e um worm USB n&atilde;o documentado anteriormente chamado SnakeDisk.
O Mustang Panda est&aacute; ativo desde pelo menos 2012, visandoAmericanoeEuropeuentidades como organiza&ccedil;&otilde;es governamentais, think tanks,ONGs, e at&eacute; mesmoOrganiza&ccedil;&otilde;es cat&oacute;licasno Vaticano. As campanhas anteriores se concentraram em pa&iacute;ses asi&aacute;ticos, incluindo Taiwan, Hong Kong, Mong&oacute;lia, Tibete e Mianmar. Nas campanhas de 2022, os agentes de amea&ccedil;as usaram relat&oacute;rios da Uni&atilde;o Europeia sobre o conflito na Ucr&acirc;nia e relat&oacute;rios do governo ucraniano como iscas. Ao abrir os relat&oacute;rios, o processo de infec&ccedil;&atilde;o come&ccedil;a a levar &agrave; implanta&ccedil;&atilde;o de malware no sistema da v&iacute;tima.
Em fevereiro de 2024, os pesquisadores da Trend Micro observaram o grupo visando pa&iacute;ses asi&aacute;ticos, incluindo Taiwan, Vietn&atilde; e Mal&aacute;sia. Em abril de 2025, o grupo APT Mustang Panda implantou um novo backdoor personalizado, denominado MQsTTang, em ataques direcionados &agrave; Europa, &Aacute;sia e Austr&aacute;lia.
Em meados de 2025, o IBM X-Force observou o malware Toneshell e Pubload se espalhando por meio de arquivos armados carregados principalmente de Cingapura e Tail&acirc;ndia. A vers&atilde;o mais recente, Toneshell9, n&atilde;o foi detectada pelas varreduras do VirusTotal, usava proxies locais para se esconder dentro do tr&aacute;fego corporativo e executava dois shells reversos ao mesmo tempo. Os pesquisadores da X-Force tamb&eacute;m observaram o SnakeDisk, um worm USB que s&oacute; foi empregado em ataques contra dispositivos na Tail&acirc;ndia. O SnakeDisk infectou unidades, se espalhou por elas e derrubou o backdoor Yokai, que abriu um shell reverso para os invasores. Yokai j&aacute; havia sido ligado a ataques a autoridades tailandesas no final de 2024.
&ldquo;Em meados de agosto, a X-Force tamb&eacute;m descobriu o SnakeDisk, um novo worm USB que compartilha sobreposi&ccedil;&atilde;o com as variantes anteriores do Tonedisk. O worm s&oacute; &eacute; executado em dispositivos localizados na Tail&acirc;ndia, conforme determinado por seu endere&ccedil;o IP p&uacute;blico.&rdquo; l&ecirc; o relat&oacute;rio publicado pela IBM X-Force. &ldquo;A SnakeDisk distribui o backdoor Yokai, que foi publicamente vinculado a v&aacute;rios outrosCampanhas segmentadas pela Tail&acirc;ndiapela Netskope em dezembro de 2024.&rdquo;
O novo worm USB usando o backdoor Yokai parece estar ligado &agrave;s recentes tens&otilde;es geopol&iacute;ticas envolvendo a Tail&acirc;ndia.
Em meados de 2025, eclodiram confrontos fronteiri&ccedil;os entre a Tail&acirc;ndia e o Camboja, aumentando com artilharia, ataques a&eacute;reos e fogo naval. Uma liga&ccedil;&atilde;o vazada derrubou o primeiro-ministro da Tail&acirc;ndia, e as tens&otilde;es atingiram o pico com o Camboja acusando a Tail&acirc;ndia de planejar um assassinato. Com a China apoiando o Camboja, o Hive0154 provavelmente explorou a crise, implantando o SnakeDisk para atingir as redes do governo tailand&ecirc;s.
Em agosto de 2025, a X-Force encontrou um Disco de cobra Ele espelha a 01.datS.A. Toneshell9 usando o sideload de DLL, resolu&ccedil;&atilde;o de API quase id&ecirc;ntica e dois modos de execu&ccedil;&atilde;o: &ldquo;-Incorpora&ccedil;&atilde;o&rdquo; (infectar USB na remo&ccedil;&atilde;o e, em seguida, executar a carga incorporada) e &ldquo;-esperan&ccedil;a&rdquo; (solte e corra imediatamente).
O SnakeDisk procura um arquivo de configura&ccedil;&atilde;o em seu diret&oacute;rio pai, valida os candidatos por tamanho e CRC32, depois descriptografa o arquivo selecionado com uma rotina XOR de duas fases e analisa 18 valores de configura&ccedil;&atilde;o que controlam caminhos USB, nomes de arquivos e op&ccedil;&otilde;es de persist&ecirc;ncia. Os pesquisadores notaram que o c&oacute;digo malicioso visa apenas a Tail&acirc;ndia. Antes de ativar suas rotinas USB, o worm chama http://ipinfo.io/json e prossegue somente se a m&aacute;quina relatar seu pa&iacute;s como Tail&acirc;ndia (&ldquo;THA&rdquo; ou &ldquo;TH&rdquo;) e impor a execu&ccedil;&atilde;o de inst&acirc;ncia &uacute;nica por meio de um mutex derivado da configura&ccedil;&atilde;o.
O SnakeDisk verifica as letras da unidade para encontrar USBs hotplug. Quando encontra um, ele gera um thread e verifica se h&aacute; infec&ccedil;&otilde;es anteriores, atualizando apenas vers&otilde;es mais antigas. Ele move todos os arquivos USB para uma pasta oculta, tornando os usu&aacute;rios mais propensos a clicar no execut&aacute;vel malicioso rec&eacute;m-descartado, que se disfar&ccedil;a como o nome do volume do USB. Ap&oacute;s o lan&ccedil;amento, ele coloca os arquivos originais de volta, ocultando seus rastros. 
Quando o SnakeDisk detecta a remo&ccedil;&atilde;o de um dispositivo USB ou inicia com o argumento &ldquo;-hope&rdquo;ent, ele verifica um arquivo de marcador para ver se o sistema j&aacute; est&aacute; infectado; em caso afirmativo, ele sai. Caso contr&aacute;rio, ele cria suas cargas na mem&oacute;ria, descriptografa-as com XOR e grava v&aacute;rios arquivos em C:UsersPublic. Esses arquivos s&atilde;o combinados em duas cargas finais, uma DLL e um execut&aacute;vel com um nome aleat&oacute;rio. Ele exclui os arquivos originais e, em seguida, executa o EXE com um argumento project-mod. O EXE &eacute; um aplicativo assinado que carrega a DLL maliciosa, ativando a funcionalidade principal do SnakeDisk.

O backdoor Yokai DLL descartado pelo SnakeDisk verifica &ldquo;-project-mod&rdquo; e estabelece persist&ecirc;ncia por meio de uma tarefa agendada para n&atilde;o administradores. Ele cria um mutex e carrega sua configura&ccedil;&atilde;o, usando a string de vers&atilde;o &ldquo;1.0.0&rdquo;. O backdoor se conecta a um C2 codificado por meio de solicita&ccedil;&otilde;es POST, enviando dados criptografados. Yokai abre um shell reverso por meio de pipes an&ocirc;nimos, permitindo que seus operadores executem comandos arbitr&aacute;rios. O Yokai compartilha sobreposi&ccedil;&otilde;es t&eacute;cnicas com outras fam&iacute;lias de backdoor do Hive0154, como Toneshell e Pubload, e se aproxima da propaga&ccedil;&atilde;o, configura&ccedil;&atilde;o e t&eacute;cnica de sideload do Tonedisk. Os pesquisadores apontaram que os subclusters geralmente reutilizam e compartilham c&oacute;digo entre fam&iacute;lias de worms e backdoor.
&ldquo;O Hive0154 continua sendo um agente de amea&ccedil;as altamente capaz, com v&aacute;rios subclusters ativos e ciclos de desenvolvimento frequentes. A X-Force avalia com alta confian&ccedil;a que grupos alinhados &agrave; China, como o Hive0154, continuar&atilde;o a refinar seu grande arsenal de malware e atingir organiza&ccedil;&otilde;es p&uacute;blicas e privadas em todo o mundo&rdquo;, conclui o relat&oacute;rio. &ldquo;O malware discutido no relat&oacute;rio acima provavelmente ainda est&aacute; em desenvolvimento inicial, permitindo que os defensores adotem mecanismos de detec&ccedil;&atilde;o antes de seu uso generalizado.&rdquo;
Siga-me no Twitter:@securityaffairseLinkedineMastodonte
PierluigiPaganini
(Assuntos de Seguran&ccedil;a&ndash;hacking,SnakeDisk)