قال ألكسندر كوت سير الباحث في ESET في تقرير جديد: MQsTTang لا يبدو أنه مبني على عائلات أو مشاريع معروفة للجمهور المستخدمة في معظم البرمجيات الضارة.
ترتفع سلاسل الهجمات التي يقوم بها التنظيم باستهداف كيانات أوروبية بعد الغزو الروسي الكامل لأوكرانيا في العام الماضي. لم تحدد الضحايا الحالية بعد، ولكن قالت شركة الأمن الإلكتروني السلوفاكية إن أسماء الملفات في شركات تتسق مع حملات المجموعة السابقة التي تستهدف المنظمات السياسية الأوروبية.
على الرغم من ذلك، لاحظت ESET أيضًا هجمات ضد كيانات غير معروفة في بلغاريا وأستراليا، بالإضافة إلى مؤسسة حكومية في تايوان، مما يشير إلى تركيز أوسع على أوروبا وآسيا.
لدى موستانج باندا تاريخ في استخدام طرق الوصول عن بعد والتي تدعى PlugX لتحقيق أهدافها، على الرغم من وقوع اختراقات مؤخرًا حيث قامت المجموعة بتوسيع مجموعة أدواتها الخبيثة لتشمل TONEINS و TONESHELL و PUBLOAD.
في ديسمبر 2022، كشفت Avast عن سلسلة هجمات جديدة استهدفت وكالات حكومية ومنظمات سياسية غير حكومية في ميانمار، وأدت إلى سرقة بيانات حساسة بما فيها رسائل البريد الإلكتروني والملفات وجلسات الاستماع في المحاكم وتقارير الاستجواب ونصوص الاجتماعات. تم استخدام تقنيات متطورة لتحقيق هذه الاختراقات. تسمى أداة PlugX المتغيرة "Hodur" وتستخدم Google Drive كأداة تحميل.
بالإضافة إلى ذلك، تم العثور على خادم FTP مرتبط بجهة التهديد يستضيف مجموعة واسعة من الأدوات غير الموثوقة المستخدمة سابقًا لتوزيع البرامج الضارة على الأجهزة المصابة، بما في ذلك حصان طروادة يدعى JSX والباب الخلفي المعقد المشار إليه باسم HT3.
تشير تطوير MQsTTang إلى استمرار هذا الاتجاه، حتى لو كان الباب الخلفي أحادي الطور المجرد بدون أي تقنيات تشويش تسمح بتنفيذ أوامر عشوائية مستلمة من خادم بعيد. (Note: This is a direct translation of the original paragraph in a friendly tone)
ومع ذلك، يُعَدُّ استخدام بروتوكول مراسلة إنترنت الأشياء المسمى MQTT للتحكم والتوجيه في الأوامر من بين جوانب زراعة غير تقليدية، ويتم ذلك باستخدام مكتبة مفتوحة المصدر يطلق عليها QMQTT، وهي عميل MQTT لتطبيق Qt عبر أنظمة التشغيل المختلفة.
إن محاولة النوايا السيئة للهجوم تبدأ بطريقة التصيّد بالرمح، ويتم توزيع MQTT عبر أرشيفات RAR تحوي ملف تنفيذي واحد يحتوي على أسماء ملفات ذات موضوعات دبلوماسية، مثل PDF_Passport والسير الذاتية لأعضاء دبلوماسيين من طوكيو JAPAN.eXE.
قال Côté Cyr: يوفر الباب الخلفي الجديد لـ MQsTTang نوعًا من الصدفة البعيدة دون أي من الأجراس والصفارات المرتبطة بعائلات البرامج الضارة الأخرى للمجموعة. ومع ذلك، يبدو أن Mustang Panda تستكشف مجموعات تكنولوجية جديدة لأدواتها.
تأتي النتائج بعد بضعة أيام من إلغاء عملية التجسس الإلكتروني التي نفذتها مجموعة الدولة القومية الصينية APT41 (المعروفة أيضًا باسم Barium أو Blackfly أو Wicked Panda) التي استهدفت شركتين تابعتين لمجموعة آسيوية في قطاع المواد والمركبات عن طريق شركة سيمانتيك.