Mustang Panda

OrigenChina

Técnicas (MITRE ATT&CK)85

FuenteMITRE ATT&CK

También conocido como:TA416RedDeltaBRONZE PRESIDENTSTATELY TAURUSFIREANTCAMARO DRAGONEARTH PRETAHIVE0154TWILL TYPHOONTANTALUMLUMINOUS MOTHUNC6384TEMP.HexRed LichClumsyToad

Análisis Vexday

Mustang Panda é um agente de espionagem cibernética de origem chinesa com operações documentadas desde pelo menos 2012, identificado no MITRE ATT&CK como G0129. O grupo é conhecido pelo uso de iscas de phishing direcionadas e documentos-isca para entrega de cargas maliciosas, tendo como alvos organizações governamentais, diplomáticas e não governamentais — incluindo think tanks, instituições religiosas e entidades de pesquisa — nos Estados Unidos, Europa e Ásia, com atividade notável na Rússia, Mongólia, Myanmar, Paquistão e Vietnã. Rastreado também pelos aliases TA416, RedDelta, BRONZE PRESIDENT, STATELY TAURUS, FIREANT e CAMARO DRAGON, o grupo acumula 85 técnicas documentadas no MITRE ATT&CK e tem uma CVE atribuída ao seu arsenal.

Técnicas (MITRE ATT&CK) 85

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento

Search Open Websites/Domains Spearphishing Link

Preparación de recursos

Domains Web Services Email Accounts Email Accounts Malware Tool Code Signing Certificates Digital Certificates Stage Capabilities Upload Malware

Acceso inicial

Spearphishing Attachment Spearphishing Link

Ejecución

Windows Management Instrumentation Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Visual Basic JavaScript Software Deployment Tools Native API Shared Modules Exploitation for Client Execution Malicious Link Malicious File

Persistencia

IDE Extensions Web Shell Registry Run Keys / Startup Folder

Escalada de privilegios

Windows Management Instrumentation Event Subscription

Acceso a credenciales

OS Credential Dumping LSASS Memory NTDS DCSync Adversary-in-the-Middle

Descubrimiento

System Network Configuration Discovery Remote System Discovery Network Service Discovery System Network Connections Discovery Process Discovery Domain Groups System Information Discovery File and Directory Discovery Domain Account Software Discovery Log Enumeration

Movimiento lateral

Replication Through Removable Media

Recolección

Local Data Staging Automated Collection Archive via Utility Archive via Custom Method

Comando y control

Protocol or Service Impersonation Web Protocols Non-Application Layer Protocol Web Service Ingress Tool Transfer IDE Tunneling Remote Desktop Software Protocol Tunneling Symmetric Cryptography

Exfiltración

Exfiltration Over C2 Channel Exfiltration Over Unencrypted Non-C2 Protocol Exfiltration over USB Exfiltration to Cloud Storage

defense-impairment

Code Signing

stealth

Obfuscated Files or Information Dynamic API Resolution LNK Icon Smuggling Junk Code Insertion Match Legitimate Resource Name or Location Double File Extension Masquerade File Type Indicator Removal File Deletion Timestomp Deobfuscate/Decode Files or Information Traffic Signaling InstallUtil Mshta Hidden Files and Directories DLL Executable Installer File Permissions Weakness Debugger Evasion Delay Execution

Vulnerabilidades explotadas 1

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2017-0199HIGHEPSS 100%KEV

El grupo Mustang Panda usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →