加速器vnp无限

臭名昭著的中国APT组织 "野马熊猫 "的主要攻击目标是亚洲和欧洲的政府和政治组织。

自今年年初以来，中国网络间谍组织 "野马熊猫"（Mustang Panda）在其攻击中使用了一种名为 "MQsTTang "的新定制后门。 野马熊猫曾以全球组织为目标，利用其定制的远程访问木马（RAT）PlugX窃取数据。

然而，这一次，该组织开发了MQsTTang后门恶意软件，以增加检测和归因的难度。 此外，野马熊猫还开始使用其他定制工具，包括PUBLOAD、TONESHELL和TONEINS。

实现恶意软件持久性的一种方法是在 "HKCU\Software\Microsoft\Windows\CurrentVersion\Run "中创建一个新的注册表键值，使恶意软件能够在系统启动时自动启动。 一旦系统重新启动，恶意软件仅执行C2通信任务，这使其能够与其命令和控制服务器进行通信。

来自ESET的研究人员在2023年1月开始的持续活动中发现了MQsTTang。 该活动针对欧洲和亚洲的政府和政治组织，特别关注乌克兰和台湾。

恶意软件是通过鱼叉式网络钓鱼电子邮件传播的，有效载荷是从与Mustang Panda以前的活动有关联的用户创建的GitHub存储库中下载的。

MQsTTang可执行文件被压缩成RAR压缩文件，并以外交主题命名，如大使馆和外交使团人员的护照扫描。 执行时，恶意软件会生成一个带有命令行参数的副本，允许其执行启用C2通信或保证持久性等任务。

MQsTTang通过使用MQTT协议进行C2通信而与众不同，这增强了其对C2攻击的抵御能力，掩盖了黑客所使用的基础设施，涉及到传输通信的代理，并验证了没有调试器/监控工具来逃避检测。

根据ESET的报告，"这个新的MQsTTang后门提供了一种远程外壳，没有任何与该组织其他恶意软件家族相关的功能"。