В последние годы киберпреступления и кибершпионаж приобретают все большую нишу в геополитических конфликтах и борьбе за информационное доминирование. Примером таких многоуровневых операций является деятельность группы Mustang Panda, которая связана с китайскими хакерскими атаками и нацелена на особые геополитические объекты и сообщества. Недавно внимание экспертов привлекла их новая кампания, в которой ключевыми элементами вредоносного арсенала стали оболочки PUBLOAD и Pubshell, используемые в атаках, ориентированных на тибетское сообщество. Эти атаки демонстрируют высокий уровень организации, технической продвинутости и адаптации стратегий к целевой аудитории и региональным особенностям. Группа Mustang Panda, также известная под обозначением Hive0154, продолжает оставаться одной из наиболее опасных киберугроз, часто действующей в азиатском регионе.
В новом наборе атак, который был выявлен специалистами IBM X-Force в июне 2025 года, злоумышленники использовали актуальные новости и события, касающиеся Тибета, что повышало эффективность социальной инженерии и позволяло успешно внедрять вредоносное ПО через фишинговые кампании. Тематика электронных писем, направленных на представителей тибетского сообщества и заинтересованных сторон, варьировалась от информации о Всемирной парламентской конвенции по Тибету (WPCT), до обсуждения китайской образовательной политики в регионе Тибетского автономного района (ТАР) и даже включала упоминания недавно опубликованной книги 14-го Далай-ламы. Такая продуманная тематическая привязка помогала завоевать доверие потенциальных жертв и стимулировала их открыть вложения в электронных письмах или перейти по вредоносным ссылкам. Важной частью атак стала отправка архивов, содержащих на первый взгляд безвредные документы Microsoft Word, дополненные статьями, скопированными с тибетских сайтов, и иллюстрациями, связанными с конвенцией WPCT. Этот прием позволял скрыть истинное назначение файлов и обойти базовые средства защиты.
Вложения включали в себя исполненные файлы, замаскированные под документы, которые при открытии активировали цепочку загрузки и внедрения вредоносного кода. Центральным компонентом атаки является вредоносный загрузчик PUBLOAD — shellcode downloader, который связывается с удалённым сервером для получения следующего этапа вредоносного кода под названием Pubshell. В процессе эксплуатации злоумышленники использовали технику DLL side-loading, которая предполагает подмену легитимной библиотеки DLL на вредоносную с целью запуска второстепенного компонента под названием Claimloader. Этот стейджер, впервые обнаруженный специалистами Cisco Talos в 2022 году, обеспечивает надежную загрузку PUBLOAD и способствует дальнейшему проникновению на систему жертвы. По информации исследователей безопасности, Pubshell представляет собой легковесную backdoor-программу, которая обеспечивает удаленный доступ к заражённой системе посредством обратной shell-сессии.
Это дает злоумышленникам возможность выполнять команды на целевой машине в интерактивном режиме. Несмотря на определенную техническую примитивность, такая backdoor-программа прекрасно подходит для оперативного контроля и сбора информации. Технический анализ показал, что Pubshell существенно походит на другую известную вредоносную программу Mustang Panda — TONESHELL. Обе программы реализуют обратный shell через анонимные каналы, однако Pubshell отличается некоторыми упрощениями: он поддерживает только запуск cmd.exe и требует дополнительной команды для возврата результатов работы, а также не создает новых потоков для обработки команд.
Эти особенности позволяют рассматривать PUBLOAD и Pubshell как облегчённую версию TONESHELL с общими кодовыми фрагментами и идеями реализации, что свидетельствует о внутреннем развитии арсенала Mustang Panda. Важным аспектом кампании является использование USB-червей в распространении вредоносного ПО, особенно в атаках, направленных на Тайвань. Зловред под названием HIUPAN (его также называют MISTCLOAK или U2DiskWatch) распространяется через USB-накопители и служит для автоматической инъекции Claimloader и PUBLOAD на новые устройства и системы. Такая техника обладает значительной эффективностью в средах, где обмен информацией ведется через физические носители, и минимизирует потребность в сетевых коммуникациях, снижая риск раннего обнаружения. С течением времени Mustang Panda не только расширяет спектр используемых инструментов, но и совершенствует подходы к мишеням и тактике атаки.
Последние кампании подчеркивают особую заинтересованность группы к организациям, связанным с политикой, дипломатией и военной сферой в странах Азии, а также к тематическим сообществам, таким как тибетское. Узкая направленность и тематическая адаптация вредоносных программ усиливают вероятность успешных проникновений и длительной работы на скомпрометированных системах. Помимо технических методов, особое внимание уделяется социальной инженерии, с детальной подготовкой заманчивых контентов и имитацией легитимных документов и новостей. Для защиты от подобных угроз организациям рекомендуется усилить меры безопасности через предпринятие следующих шагов. В первую очередь, необходимо повысить осведомленность сотрудников о текущих киберугрозах и принять политики обучения распознавать фишинговые письма и подозрительные вложения.
Использование многофакторной аутентификации и надежных решений для обнаружения вредоносного кода играют критическую роль в ограничении распространения угроз. Также важно внедрять сегментацию сети и ограничивать доступ к критическим системам, чтобы минимизировать ущерб в случае успешного вторжения. На уровне технических средств стоит использовать современные endpoint detection and response (EDR) системы и регулярно обновлять антивирусные и антишпионские базы. Специалисты по безопасности также рекомендуют периодически проводить анализ сетевого трафика на предмет аномалий и связей с внешними подозрительными серверами. Контроль загрузки файлов с облачных сервисов, таких как Google Drive, которые злоумышленники активно использовали для доставки вредоносных архивов, должен быть усилен.
В конечном итоге, случай с PUBLOAD и Pubshell от Mustang Panda служит напоминанием о возрастающей сложности современных кибервойн и важности системного подхода к кибербезопасности. Китайско-ориентированные хакерские группы продолжают развивать свое программное обеспечение и оперативные методы, направленные на сбор разносторонних разведданных, преимущественно в политической и военной сферах Азии. Тщательный мониторинг угроз, адаптация защитных механизмов и постоянное обучение сотрудников — ключевые компоненты успешной защиты от подобных целенаправленных атак. Только объединяя технические и организационные меры, возможно создать устойчивую оборону, препятствующую продвижению злоумышленников и сохранению конфиденциальности критичных данных.
![I replaced my entire tech stack with Postgres [video]](/images/F14BD4CD-C065-4AA8-8578-2B06450224B2)