返回
快讯

Mustang Panda 用 Zoho WorkDrive 作为指挥通道攻击印度政府

Acronis 发现中国关联间谍组织 Mustang Panda 针对印度政府和水电目标发起两波攻击,利用新恶意软件并把合法云服务 Zoho WorkDrive 变成命令通道。研究人员还识别出三种新工具及相关入侵迹象。

与中国有关联的间谍组织 Mustang Panda 正在针对印度政府和水电目标运行两波攻击,部署新恶意软件,并把一个合法云服务变成它的 command channel。

Acronis Threat Research Unit 发现了印度政府网络内的活跃入侵,包括 senior administrative staff 使用的机器,并与 CERT-In 合作进行通知和清理。

这款恶意软件滥用 Zoho WorkDrive,这个在印度政府部门很常见的 cloud storage platform,来传递命令并外传数据。核心思路就是这样:流量看起来像普通的云活动,因此它会隐藏在它正在窃取的网络内部。

Acronis 命名了三种新工具。

SHARDLOADER 是一个 loader,它通过 side-loading 一个 malicious DLL 来运行,所用的是一个合法签名的 binary;在一场 campaign 中是 Solid PDF Creator executable,在另一场中是 Citrix Receiver binary。它会部署两种 implant 之一。

MINIRECON 是 IBM X-Force 文档中所描述的 Toneshell backdoor 的一个改造变种,现在通过 HTTPS 上的 WebSocket connection 进行 beaconing。

ZOHOMURK 是一个新出现的组件:它携带 hardcoded Zoho OAuth credentials,并利用这些凭据把一个 attacker-controlled WorkDrive account 当作 dead drop 来使用,从 inbox folder 读取 commands,并把被盗取的输出写入 outbox。

这两场 campaign 都是以 ZIP archives 的形式送达,恶意 DLL 被标记为 hidden。Acronis 认为它们是通过 spear-phishing 投递的。诱饵与目标高度吻合:一个围绕 hydropower cooperation proposal,另一个围绕 Indian 和 Taiwanese institutions 之间的 memorandum of understanding。

根据 Acronis,这次行动的目标是获取印度水电计划以及其与台湾防务联系的 intelligence。Acronis 高度确信这些活动应归因于 Mustang Panda。

报告中包括了重复使用的 Solid PDF Creator side-loading chain、与 Toneshell 的 code overlap、位于同一 network block 的 command servers,而该 network block 也被 IBM X-Force 关联到这个组织,以及一个在多个 implant 中反复出现的拼写错误 RunOnece。

Operational security 很薄弱。hardcoded tokens、plaintext identifiers 和重复使用的 infrastructure 都帮助分析人员将其锁定。活跃 beaconing 从 2026 年 6 月 12 日持续到 2026 年 6 月 22 日。

这延续了针对印度目标的持续行动。4 月,Acronis 将该组织的 LOTUSLITE backdoor 关联到针对印度银行业和韩国政策圈的攻击,这些攻击同样通过合法 cloud service 进行。更广泛的中国关联对印度电力 sector 的兴趣可以追溯到更早:2021 年的 RedEcho campaign 用 ShadowPad 针对了该国的 electricity grid。

没有补丁可打。防御重点在于拦截投递和 cloud abuse。Acronis 发布了 indicators 和 hunting tips,包括 persistence Run keys、名为 SolidPDFPcl2Bmp 的 scheduled task、C2 domain couldinstallup[.]com,以及出现在非浏览器进程上的 Zoho user agents。

政府和能源组织,尤其是那些与可能引起 Beijing 兴趣的跨境交易有关的组织,应留意 geopolitical lures 和来自 signed binaries 的 side-loading。并标记任何 endpoint process 调用它没有理由接触的 cloud APIs。