Группа угроз Mustang Panda, известная своим тесным сотрудничеством с китайскими государственными структурами, вновь оказалась в центре внимания специалистов по кибербезопасности. На сей раз хакеры применили новую вредоносную программу - USB-червя SnakeDisk, которая нацелена исключительно на устройства с IP-адресами в Таиланде. Основная цель распространения связана с внедрением обратно двери Yokai, способной обеспечивать удалённый контроль над заражёнными системами. Атаки группы Mustang Panda (она же известна под рядом других наименований, включая Hive0154, BASIN, Bronze President и другими) за последние годы приобрели высокую изощрённость. Уже давно эта организация славится масштабным арсеналом вредоносных программ, среди которых особое место занимают бекдоры TONESHELL и PUBLOAD.
В 2025 году исследователи IBM X-Force обнародовали анализ новых вариантов трояна TONESHELL, а также первую публичную информацию о USB-черве SnakeDisk, применяемом для быстрой и скрытной инфильтрации в системы. SnakeDisk отличается тем, что заражает съёмные USB-накопители, внедряя себя в их файловую структуру. Для этого он перемещает легитимные файлы в подпапки и замещает их вредоносным исполняемым файлом с названием, маскирующимся под съемный носитель. Такой трюк заставляет пользователя ошибочно запустить заражённую программу на другом компьютере, что приводит к автоматическому старту вредоносных действий. После запуска вредоносного кода вирус восстанавливает оригинальную файловую структуру, тем самым усложняя обнаружение инцидента.
Уникальной особенностью SnakeDisk является его географическая привязка - он запускается исключительно на устройствах с публичными IP-адресами, зарегистрированными в Таиланде. Эта "геофильтрация" говорит о том, что группа Mustang Panda сосредоточена на конкретной целевой аудитории, избегая распространения их вредоносного кода вне данного региона. Такое сужение цели повышает эффективность атаки и уменьшает риски утечки, что характерно для государственно направленных APT-групп. После успешного проникновения SnakeDisk служит платформой для загрузки и установки обратно двери Yokai. Этот бекдор способен устанавливать обратный шелл (reverse shell) на заражённую машину, позволяя злоумышленникам выполнять любые команды, получая полный удалённый контроль над системой.
Ранее Yokai была связана с атаками против официальных лиц и государственных учреждений Таиланда, что подтверждает её роль в кибершпионаже и целенаправленных операциях. Интересно, что отрывок кода новых версий TONESHELL, выявленных IBM, включает заготовки из публичного сайта OpenAI ChatGPT. Это, по мнению экспертов, добавляет дополнительный уровень запутанности при статическом анализе вредоносных программ, делая их обнаружение и изучение сложнее. Подобные приёмы свидетельствуют о постоянном развитии инструментов Mustang Panda и стремлении обходить современные механизмы защиты. Методы проникновения группы традиционно остаются консервативными и надёжными - целевые атаки с использованием spear-phishing, сложные DLL-сайдлоадинг техники и маскировка сетевого трафика через локальные proxy-серверы, чтобы имитировать легитимные коммуникации внутри корпоративных сетей.
Благодаря этим подходам вредоносный трафик не вызывает подозрений и успешно проходит проверку систем мониторинга. Стоит отметить, что сама группа Mustang Panda известна с 2012 года, и за это время она обнаружила множество подгрупп и вариаций инструментария, позволяющих вести многофункциональные кибершпионские кампании. Их деятельность охватывает регионы Юго-Восточной Азии, включая такие страны как Мьянма, Филиппины, Австралия, Япония и Тайвань. Однако недавние события говорят о явном усилении фокуса именно на Таиланде, что, возможно, связано с текущей политической или экономической ситуацией в регионе. Исследователи IBM X-Force подчёркивают масштабность и продуманность инфраструктуры Mustang Panda.
Регулярное обновление вредоносных программ, наличие нескольких активных руководящих кластеров и частые циклы разработки свидетельствуют о высоком уровне организации и ресурсной обеспеченности группы. Использование схожих стратегий, распределение кода и тактик между разными вредоносными семействами указывает на возможность единого управляющего центра. Эксперты рекомендуют всем организациям в Таиланде и соседних странах усилить меры информационной безопасности. Особое внимание стоит уделить контролю за использованием USB-устройств, фильтрации электронной почты и анализу сетевого трафика, особенно при подозрительной активности изнутри корпоративных сетей. Внедрение решений с проактивной защитой на базе машинного обучения и высокоточного детектирования угроз поможет снизить риски успешных атак.
В целом, случай с распространением USB-червя SnakeDisk и бекдора Yokai подчёркивает важность постоянного мониторинга угроз и своевременного реагирования на изменения в тактиках киберпреступников. Mustang Panda продолжает оставаться одной из самых опасных групп в глобальном киберпространстве, а их операции показывают, как адаптация к локальным условиям помогает им достигать целей с максимальной эффективностью. В эпоху стремительного развития цифровых технологий и растущих киберугроз именно своевременное информирование и экономическая грамотность в области кибербезопасности становятся ключевыми факторами защиты национальных интересов, бизнеса и персональных данных. Объединённые усилия со стороны государства, частных компаний и конечных пользователей - залог успешной борьбы с такими изощрёнными угрозами, как Mustang Panda и их усовершенствованные вредоносные инструменты. .
