Mustang Panda nutzt PlugX-RAT: Angriff über mehrstufige LNK- und PowerShell-Kette

Die bekannte, ützte Bedrohungsgruppe Mustang Panda wurde dabei ertappt, wie sie eine ausgeklügelte Cyberangriffskampagne mit ihrem charakteristischen Remote-Access-Tool PlugX durchf Die bekannte, ützte Bedrohungsgruppe Mustang Panda wurde dabei ertappt, wie sie eine ausgeklügelte Cyberangriffskampagne mit ihrem charakteristischen Remote-Access-Tool PlugX durchführt.

Die Gruppe täuschte Benutzer mit einem geschickt getarnten gefälschten Browser-Update herein, wodurch ein mehrstufiger Malware-Loader heruntergeladen wurde, der sich stillschweigend auf den Systemen der Opfer installierte und ohne auffällige Verdachtsmomente mit einem entfernten Befehlsserver kommunizierte.

Die Attacke zeichnet sich durch die sorgfältige Trennung jeder einzelnen Infektionsstufe voneinander aus. Statt auf eine einzelne bösartige Datei zu setzen, bauten die Angreifer eine eng verknüpfte Kette, deren vollständige Absicht erst im Zusammenspiel offengelegt wird.

Dieses Design erschwert es Sicherheitstools erheblich, die Bedrohung zu erkennen, indem sie einzelne Dateien isoliert scannen.

Analysten und veröffentlichten eine detaillierte technische Analyse, in der sie feststellten, dass die Angriffsreihe mit zwei verdächtigen Dateien begann: Browser_Update.zip und eine getarnte Bilddatei namens iis.jpg, die als bösartig markiert wurden. BlueCyber teilte in einem Bericht mit