Nhóm tấn công **Mustang Panda**, còn được biết đến với các tên gọi **Earth Preta**, **HIVE0154**, **RedDelta**, và **Bronze President**, đã triển khai backdoor **ToneShell** nhắm vào người dùng Windows. Các mục tiêu chính là các thực thể chính phủ và quân sự ở khu vực Châu Á – Thái Bình Dương và Châu Âu, tạo ra một **mối đe dọa mạng** đáng kể.
Hoạt động từ ít nhất năm **2012**, nhóm này sử dụng email spear-phishing với mồi nhử chủ đề quân sự để phát tán các file nén độc hại, ví dụ như **mustang_panda.zip**. Các file này chứa một dropper thực thi (**Dropper.exe**) được ngụy trang thành một tệp PDF bị hỏng.
Kỹ thuật Lừa đảo và Lây nhiễm ban đầu của Mustang Panda
Sau khi thực thi, nạn nhân sẽ thấy một thông báo lỗi giả mạo: “Error: File Corrupted—The PDF file is corrupted. Please restart your computer to try again.” Thông báo này được thiết kế để đánh lạc hướng trong khi mã độc triển khai các thành phần hợp lệ của Google Chrome để thực hiện kỹ thuật DLL Sideloading.
Theo báo cáo, kỹ thuật này chiếm quyền điều khiển **ChromePDF.exe**, một tệp nhị phân Chrome hợp lệ được đặt tại C:\ProgramData\ChromePDFBrowser. Tệp này sau đó tải một **chrome_elf.dll** độc hại từ thư mục con 101.0.4951.41, giả mạo thông tin phiên bản để tránh bị phát hiện. Chi tiết thêm về cơ chế này có thể tham khảo tại nguồn báo cáo chi tiết.
Mức độ tin cậy cao trong việc quy kết tấn công cho **Mustang Panda** xuất phát từ các TTP (Tactics, Techniques, and Procedures) nhất quán, bao gồm việc tái sử dụng hạ tầng và các chiến thuật né tránh đã được quan sát từ tháng 3 đến tháng 7 năm **2025**.
Cơ chế Duy trì Quyền Truy cập (Persistence)
Nhóm **Mustang Panda** sử dụng một chiến lược duy trì quyền truy cập dự phòng để duy trì quyền truy cập lâu dài vào hệ thống bị **xâm nhập mạng**. Nhóm kết hợp việc sử dụng các khóa chạy trong registry dưới dạng:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runvới tên khóa **ChromePDFBrowser**, trỏ đến **ChromePDF.exe** và **FreePDF**.
Ngoài ra, một tác vụ theo lịch trình có tên **ChromeBrowser-chromiumim** được thiết lập để thực thi sau mỗi năm phút thông qua các lệnh schtasks. Điều này đảm bảo việc khởi động lại tự động khi đăng nhập và thực thi định kỳ, tăng cường khả năng phục hồi chống lại các gián đoạn. Thông tin bổ sung về chiến thuật né tránh EDR của **Mustang Panda** có thể được tìm thấy tại GBHackers.
Giao tiếp Command and Control (C2) của Backdoor ToneShell
Backdoor **ToneShell** giao tiếp qua một giao thức TLS được mã hóa tùy chỉnh với máy chủ C2 tại **218.255.96.245:443**. Địa chỉ IP này được liên kết với **HKBN Enterprise Solutions** ở Hồng Kông. Các dấu hiệu lưu lượng truy cập bao gồm các byte **17 03 03** cho thấy Dữ liệu ứng dụng TLS.
Phân tích pháp y mạng cho thấy các trao đổi hai chiều được ngụy trang thành HTTPS hợp pháp để vượt qua các biện pháp giám sát.
Phân tích kỹ thuật DLL độc hại
Phân tích DLL độc hại (SHA-256: 216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b) cho thấy nó nhập **118** chức năng API của Windows để kiểm soát hệ thống toàn diện, đồng thời mô phỏng siêu dữ liệu Chrome hợp pháp. Các chức năng này bao gồm:
- Thao tác tiến trình (ví dụ: **CreateProcessA/W**, **TerminateProcess**)
- Thao tác tệp (ví dụ: **WriteFile**, **FindFirstFileEx**)
- Sửa đổi registry (ví dụ: **RegSetValueEx**)
- Thực thi shell (ví dụ: **ShellExecuteW**)
Mối liên hệ Hạ tầng và Chuỗi Lây nhiễm
Phân tích liên kết cho thấy tính liên tục trong hoạt động của **Mustang Panda**, với địa chỉ IP C2 được chia sẻ trong các chiến dịch **DOPLUGS** (**2024**, nhắm vào Châu Á – Thái Bình Dương) và **PUBLOAD** (**2024**, tập trung vào các tổ chức Tây Tạng), cùng với chiến dịch **ToneShell** hiện tại. Điều này chứng tỏ hiệu quả của **Mustang Panda** trong việc tái sử dụng hạ tầng.
Các tạo tác prefetch xác nhận chuỗi lây nhiễm, từ việc thực thi dropper ban đầu (DROPPER.EXE-AF23BC17.pf) liên quan đến việc triển khai tệp và tạo tác vụ, cho đến các lần chạy liên tục của **ChromePDF.exe** (CHROMEPDF.EXE-AD96CF35.pf) thông qua DLL sideloading. Một ví dụ về việc kẻ tấn công sử dụng kỹ thuật DLL sideloading có thể tham khảo thêm tại bài viết này.
Các chỉ báo Thỏa hiệp (IOCs) và Biện pháp Phòng thủ
Chỉ báo Thỏa hiệp (IOCs)
- Địa chỉ IP C2:
218.255.96.245:443 - SHA-256 của DLL độc hại:
216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b - Tên tệp và đường dẫn:
mustang_panda.zipDropper.exeC:\ProgramData\ChromePDFBrowser\ChromePDF.exeC:\ProgramData\ChromePDFBrowser\101.0.4951.41\chrome_elf.dll
- Khóa Registry:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ChromePDFBrowser - Tên tác vụ theo lịch trình:
ChromeBrowser-chromiumim - Tạo tác Prefetch:
DROPPER.EXE-AF23BC17.pfCHROMEPDF.EXE-AD96CF35.pf
- Dấu hiệu lưu lượng C2:
17 03 03(bytes TLS Application Data)
Biện pháp Phát hiện và Phòng ngừa
Các cơ hội phát hiện bao gồm các truy vấn PowerShell cho các tạo tác, quy tắc Microsoft Defender cho các tải và tác vụ đáng ngờ, và quy tắc Sigma gắn thẻ các hành vi như tải hình ảnh từ các đường dẫn không chuẩn, tạo tiến trình trong ProgramData, lạm dụng **conhost.exe** với các tham số headless, thiết lập tác vụ theo lịch trình và duy trì registry.
Các tổ chức cần săn tìm các IOC đã liệt kê, chặn lưu lượng C2, kiểm tra registry, triển khai sandboxing email, danh sách trắng ứng dụng và giám sát hành vi để đối phó với các TTP này. Các kỹ thuật này phù hợp với MITRE ATT&CK như **T1574.001** (DLL Side-Loading), **T1053.005** (Scheduled Task), và **T1547.001** (Registry Run Keys).
Sự phát triển này nhấn mạnh sự trưởng thành của **Mustang Panda** trong việc né tránh và duy trì quyền truy cập, thúc giục các biện pháp phòng thủ chủ động vượt ra ngoài các chữ ký. Để đảm bảo **an toàn thông tin** cho hệ thống, việc triển khai các biện pháp bảo vệ đa lớp là cần thiết.
