Výskumníci spoločnosti ESET odhalili aktuálne prebiehajúcu špionážnu kampaň, ktorá využíva doposiaľ nezdokumentovaný variant vírusu trojan Korplug z dielne APT skupiny Mustang Panda.
Tento nový variant pomenovali Hodur pre jeho podobnosť s variantom THOR, ktorý bol objavený v roku 2020. V nórskej mytológii je Hodur slepý nevlastný brat boha Thora.
Kampaň zneužíva vojnu na Ukrajine aj ďalšie témy, ktoré rezonujú v Európe. Medzi známymi obeťami sú výskumné organizácie, poskytovatelia internetových služieb a európske diplomatické misie, ktoré sa nachádzajú najmä vo východnej a juhovýchodnej Ázii.
Útočníci pravdepodobne lákajú obete prostredníctvom phishingových dokumentov, ktoré odkazujú na najnovšie udalosti v Európe, vrátane ruskej invázie na Ukrajinu.
Pred vojnou utiekli do okolitých krajín podľa Úradu vysokého komisára OSN pre utečencov už viac ako 3 milióny ľudí, čo spôsobilo na ukrajinských hraniciach bezprecedentnú krízu. Jeden zo súborov, ktorý je súčasťou špionážnej kampane, má napríklad názov „Situation at the EU borders with Ukraine.exe“, v preklade „Situácia na hraniciach EÚ s Ukrajinou“.
Medzi ďalšie phishingové nástroje patria dokumenty o aktuálnych pandemických cestovných obmedzeniach, schválená mapa pre regionálnu pomoc v Grécku či nariadenia Európskeho parlamentu a Rady Európskej únie.
Poslednou návnadou je zneužitý skutočný dokument, ktorý je dostupný na stránke Európskej rady. Ide o dôkaz toho, že APT skupina, ktorá je za touto kampaňou, pozorne sleduje aktuálne dianie a je naň schopná úspešne a rýchlo reagovať.
„Mustang Panda, tiež známa ako TA416, RedDelta alebo PKPLUG je to špionážna skupina, ktorá sa zameriava najmä na vládne inštitúcie a neziskové organizácie,“ vysvetľuje Alexandre Côté Cyr, výskumník spoločnosti ESET, ktorý objavil malvér Hodur.
Obete APT skupiny Mustang Panda sa nachádzajú prevažne vo východnej a juhovýchodnej Ázii, a to najmä v Mongolsku. Útočníci však v menšej miere cielia aj na Európu. Skupinu napríklad neslávne preslávila kampaň z roku 2020 namierená na Vatikán.
Medzi identifikovanými zasiahnutými cieľmi sú diplomatické misie, výskumné organizácie a poskytovatelia internetových služieb.
„Na rozdiel od ostatných kampaní, ktoré využívajú Korplug, v tomto prípade každá fáza inštalácie škodlivého kódu využíva rôzne techniky na sťaženie analýzy programu, vrátane skomplikovania toku jeho riadenia. Útočníci nám tak chcú sťažiť prácu,“ dodáva Côté Cyr.