sep 15, 2025Ravie Lakshmananmalware / Network Seguridad El actor de amenaza alineado por China conocido como Mustang Panda se ha observado utilizando una versión actualizada de una puerta trasera llamada Toneshell y un gusano USB previamente indocumentado llamado Snakedisk. «El gusano solo se ejecuta en dispositivos con direcciones IP con sede en Tailandia y deja caer la puerta trasera de Yokai», dijeron los investigadores de IBM X-Force Golo Mühr y Joshua Chung en un análisis publicado la semana pasada. La división de ciberseguridad del gigante tecnológico está rastreando el clúster bajo el nombre Hive0154, que también se conoce ampliamente como cuenca, presidente de bronce, dragón Camaro, Earth Preta, Honeymyte, Polaris, Reddelta, Taurus majestuoso y Typhoon Twill. Se cree que el actor de amenaza patrocinado por el estado estaba activo desde al menos 2012. Toneshell fue documentada públicamente por Trend Micro en noviembre de 2022 como parte de los ataques cibernéticos dirigidos a Myanmar, Australia, Filipinas, Japón y Taiwán entre mayo y octubre. Por lo general, se ejecuta a través de la carga lateral de DLL, su responsabilidad principal es descargar cargas útiles de próxima etapa en el host infectado. Las cadenas de ataque típicas implican el uso de correos electrónicos de phishing de lanza para lanzar familias de malware como Putoad o Toneshell. Podoad, que también funciona de manera similar a Toneshell, también es capaz de descargar cargas útiles de shellcode a través de solicitudes de publicación HTTP desde un servidor de comando y control (C2). Las variantes Toneshell recientemente identificadas, llamadas Toneshell8 y Toneshell9 por IBM X-Force, admiten la comunicación C2 a través de servidores proxy configurados localmente para combinar con el tráfico de red empresarial y facilitar dos capas inversas activas en paralelo. También incorpora código de basura copiado del sitio web ChatGPT de OpenAI dentro de las funciones del malware para evadir la detección estática y el análisis de resistencia. También se lanzó con la carga lateral de DLL un nuevo gusano USB llamado Snakedisk que comparte superposiciones con Tonedisk (también conocido como Wisprider), otro marco de gusano USB bajo la familia Toneshell. Se utiliza principalmente para detectar dispositivos USB nuevos y existentes conectados al host, utilizándolo como un medio de propagación. Específicamente, mueve los archivos existentes en el USB a un nuevo subdirectorio, engañando efectivamente a la víctima para que haga clic en la carga útil maliciosa en una nueva máquina configurando su nombre en el nombre de volumen del dispositivo USB, o «USB.EXE». Una vez que se inicia el malware, los archivos se copian de nuevo a su ubicación original. Un aspecto notable del malware es que está geofencionado para ejecutar solo en direcciones IP públicas geolocadas a Tailandia. Snakedisk también sirve como un conducto para soltar Yokai, una puerta trasera que configura un shell inverso para ejecutar comandos arbitrarios. Anteriormente fue detallado por Netskope en diciembre de 2024 en intrusiones dirigidas a funcionarios tailandeses. «Yokai muestra superposiciones con otras familias de puerta trasera atribuidas a Hive0154, como Putoad/PubShell y Toneshell», dijo IBM. «Aunque esas familias son piezas de malware claramente separadas, siguen aproximadamente la misma estructura y usan técnicas similares para establecer un shell inverso con su servidor C2». El uso de Snakedisk y Yokai probablemente apunta a un subgrupo dentro de Mustang Panda que está hiperfociado en Tailandia, al tiempo que subraya la evolución continua y el refinamiento del arsenal del actor de amenaza. «Hive0154 sigue siendo un actor de amenaza altamente capaz con múltiples subclusters activos y ciclos de desarrollo frecuentes», concluyó la compañía. «Este grupo parece mantener un ecosistema de malware considerablemente grande con superposiciones frecuentes tanto en código malicioso, técnicas utilizadas durante los ataques, así como la orientación».