与中国有关联的网络间谍组织“熊猫芥末”(Mustang Panda)被曝正同时对印度政府和能源目标发动两起攻击行动,该组织将受信任的云存储服务作为隐蔽指挥中心,并部署全新开发的恶意软件工具,在静默窃取数据的同时,让恶意流量混入正常的云活动之中。

攻击重点瞄准印度水力发电行业以及参与双边合作的政府机构。攻击者使用以水电合作提案和印台机构间备忘录为主题的诱饵文件,诱骗受害者执行恶意软件。分析人士指出,其真实目的在于收集印度水电发展计划及其与台湾防务关系的情报

打开网易新闻 查看精彩图片

在一份与Cyber Security News(CSN)分享的报告中,Acronis威胁研究部门(TRU)的研究人员表示,他们已识别出这些攻击活动,并发现印度政府网络内部存在正在进行的入侵,受害机器包括高级行政人员所使用的设备。发现入侵行为后,Acronis直接与印度计算机应急响应小组(CERT-In)合作进行通报和清理工作。

威胁行为者在这两起攻击行动中共引入了三种新的恶意软件工具。第一种名为SHARDLOADER,是一个加载器,通过利用合法签名的二进制文件(Solid PDF Creator或Citrix Receiver可执行文件,具体取决于攻击活动)进行DLL侧加载来运行。另外两个植入物MINIRECON和ZOHOMURK则在加载器完成任务后,承担起主要的数据窃取工作。

这符合一个清晰且不断升级的攻击模式。今年4月,Acronis还将“熊猫芥末”组织与针对印度银行业和韩国政策圈的攻击活动联系起来,那次行动使用了一款名为LOTUSLITE的工具,同样通过合法云服务进行中转。而早在2021年的RedEcho行动中,该组织就曾利用ShadowPad恶意软件瞄准印度电网,显示出北京对印度关键基础设施的持续兴趣。