El 2 de junio la compañía de seguridad informática ESET publicó una serie de tuits sobre el ciberataque a la web de la oficina del presidente de Myanmar. Avast ha seguido este ataque y ha descubierto que dicha campaña se remonta al menos a mayo de 2020. Además, desde Avast respaldan las conclusiones de ESET sobre que este ataque está vinculado al grupo APT Mustang Panda. Avast atribuye estos ataques a este grupo con cierta seguridad.
Mustang Panda es un grupo de actuación de amenazas de ciberespionaje con sede en China que comenzó su andadura en 2017, aunque se cree que pueden haber estado llevando a cabo operaciones desde al menos 2014. También es conocido como TA416, Red Delta y Bronze President. En sus diferentes ataques, Mustang Panda se ha dirigido a entidades gubernamentales, organizaciones sin fines de lucro o religiosas en Estados Unidos, Alemania, Mongolia, Myanmar, Pakistán y Vietnam, entre otros.
La investigación de Avast confirma que estos ataques utilizan binarios CobaltStrike en un ataque de “sideloading“: es decir, un ataque en el que los archivos maliciosos utilizan el mismo nombre que los legítimos y se introducen en el sistema objetivo de forma que se cargan y ejecutan en lugar de los archivos legítimos.
Estos ataques podrían facilitar a los atacantes el control total sobre los sistemas infectados, incluida la capacidad de robar información o de introducirse más profundamente en la red para llevar a cabo ataques adicionales.
