DeafNews
// 1 ZERO-DAY · 4 CVE · 3 EXPLOIT NELLE ULTIME 24H
Cybersecurity

Mustang Panda usa Zoho WorkDrive come C2 nascosto contro il governo indiano

Published: Updated: By DeafSuite team 8 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Il gruppo APT Mustang Panda ha condotto due campagne di spionaggio contro il governo indiano usando Zoho WorkDrive come canale di comando e controllo legittimo, con

Il gruppo APT Mustang Panda ha condotto due campagne attive di spionaggio contro il governo indiano e target idroelettrici nel giugno 2026. La Threat Research Unit di Acronis ha rilevato compromissioni all'interno di reti governative indiane, inclusi dispositivi di personale amministrativo senior, e ha collaborato con CERT-In per la notifica e la pulizia. Il nucleo tattico è l'abuso di Zoho WorkDrive, piattaforma cloud storage diffusa nel settore governativo indiano, trasformata in infrastruttura di comando e controllo che maschera il traffico malevolo come ordinaria attività cloud.

Punti chiave
  • Mustang Panda ha condotto 2 campagne distinte nel giugno 2026 contro il governo indiano e infrastrutture idroelettriche, con beaconing attivo dal 12 al 22 giugno.
  • Il malware ZOHOMURK contiene credenziali OAuth Zoho hardcoded e utilizza un account WorkDrive controllato dall'attaccante come dead drop: legge comandi dalla cartella inbox e scrive output rubato in outbox.
  • SHARDLOADER opera tramite sideloading DLL: in una campagna usa l'eseguibile firmato Solid PDF Creator, nell'altra il binario Citrix Receiver, per caricare DLL malevola.
  • Acronis attribuisce l'attività a Mustang Panda con high confidence basandosi su sovrapposizioni di codice con Toneshell, riutilizzo della catena di sideloading e server C2 nella stessa rete di blocchi documentata da IBM X-Force.

Come Zoho WorkDrive è diventato un canale C2 invisibile

La scelta di Zoho WorkDrive non è casuale. La piattaforma è comune nel settore governativo indiano, il che rende il suo traffico legittimo e atteso all'interno delle reti target. Il componente ZOHOMURK — rivelato per la prima volta in questa campagna — contiene credenziali OAuth Zoho hardcoded. Queste credenziali permettono l'accesso autenticato a un account WorkDrive controllato dall'attore della minaccia.

Il meccanismo di comunicazione è quello di un dead drop classico, eseguito su infrastruttura cloud enterprise. ZOHOMURK legge i comandi dalla cartella inbox dell'account e scrive i dati rubati nella cartella outbox. Il traffico risultante appare come normale attività di storage cloud, eludendo i controlli di rete basati su domini sospetti o anomalie di protocollo. Secondo Acronis, riportato da The Hacker News, "il traffico assomiglia a un'ordinaria attività cloud, quindi si nasconde all'interno della rete da cui sta rubando".

La fonte non specifica se le credenziali OAuth hardcoded siano state revocate da Zoho o se rimangano attive al momento della pubblicazione. Questo limite lascia aperto il punto sulla durata operativa della minaccia.

La catena di infezione: sideloading firmato e beaconing WebSocket

La consegna iniziale avviene attraverso archivi ZIP che nascondono DLL malevole. Acronis ritiene probabile che il vettore sia lo spear-phishing, sebbene la fonte non documenti campioni email specifici. Le esche tematiche riguardano una proposta di cooperazione idroelettrica e un memorandum d'intesa tra istituzioni indiane e taiwanesi, indicando una ricerca mirata di intelligence su piani idroelettrici indiani e legami di difesa con Taiwan.

SHARDLOADER è il loader che apre la catena. In una delle 2 campagne identificate, utilizza l'eseguibile legittimo e firmato Solid PDF Creator per caricare via sideloading una DLL malevola. Nell'altra campagna, il binario firmato è Citrix Receiver. Questa tecnica sfrutta la fiducia che i sistemi operativi e gli strumenti di sicurezza ripongono nei binari firmati da editori noti, riducendo la visibilità dell'esecuzione malevola.

MINIRECON è una variante rielaborata del backdoor Toneshell, precedentemente documentato da IBM X-Force. La novità rispetto alla versione originale è il beaconing su WebSocket su HTTPS, un canale che si integra nel traffico web cifrato ordinario e complica il rilevamento basato su signature di rete.

Le prove dell'attribuzione a Mustang Panda

Acronis formula l'attribuzione con high confidence attraverso una combinazione di indicatori tecnici. La catena di sideloading che coinvolge Solid PDF Creator è stata riutilizzata in precedenti operazioni del gruppo. Il codice di MINIRECON presenta sovrapposizioni con Toneshell, backdoor storicamente associato a Mustang Panda. I server di comando e controllo si trovano nella stessa rete di blocchi di infrastruttura documentata da IBM X-Force in collegamento al gruppo. Infine, un errore ricorrente di battitura — "RunOnece" invece di "RunOnce" — attraversa multipli implant e costituisce un pattern comportamentale riconoscibile.

L'attribuzione rimane circoscritta al gruppo APT. Il dossier non documenta coinvolgimento diretto di entità statali cinesi nell'operazione specifica. In aprile 2026, Acronis aveva già collegato il backdoor LOTUSLITE di Mustang Panda ad attacchi al settore bancario indiano e a cerchi politici sudcoreani, anch'esso con abuso di servizio cloud legittimo. Questa continuità rafforza il pattern tattico ma non estende l'attribuzione oltre il gruppo.

"Non c'è una patch da applicare. La difesa sta nell'intercettare la consegna e l'abuso del cloud." — Acronis Threat Research Unit

Timeline e indicatori di compromissione

Il beaconing attivo è stato rilevato dal 12 al 22 giugno 2026. Questo intervallo temporale rappresenta la finestra di osservazione confermata, non necessariamente l'estensione completa della campagna, che la fonte non quantifica. Acronis ha pubblicato indicatori di compromissione specifici: chiavi di registro Run, un task schedulato denominato SolidPDFPcl2Bmp, il dominio C2 couldinstallup[.]com, e l'anomalia di user agent Zoho associato a processi non-browser.

La fonte non specifica il numero esatto di vittime o di organizzazioni compromesse. Non emergono nel dossier altri malware o tool di persistenza non ancora identificati, ma la mancanza di conferma non equivale a esclusione.

Cosa fare adesso

La campagna rivela un'evoluzione tattica che sposta il problema di sicurezza dal perimetro di rete al comportamento degli endpoint. Quando il canale di comando e controllo è un servizio SaaS legittimo con traffico autenticato e cifrato, il blocco di domini sospetti diventa inefficace. Il rilevamento deve spostarsi sulla correlazione comportamentale: processi endpoint non-browser che interagiscono con API cloud in pattern anomali.

Le azioni specifiche derivate dal caso documentato includono: monitorare i processi che eseguono chiamate API Zoho WorkDrive senza browser associato; verificare la presenza del task schedulato SolidPDFPcl2Bmp nei sistemi Windows; controllare connessioni HTTPS verso couldinstallup[.]com; analizzare il registro per chiavi Run contenenti l'errore "RunOnece"; e ispezionare archivi ZIP in ingresso che contengano DLL nascoste, specialmente con tematiche idroelettriche o India-Taiwan.

La tecnica di "living off the land" applicata ai servizi cloud enterprise riduce il costo di infrastruttura per l'attaccante e aumenta la resilienza dell'operazione, poiché la compromissione di un singolo account cloud non espone l'infrastruttura C2 a sequestro tradizionale. Il dossier non documenta misure correttive specifiche o raccomandazioni operative dettagliate. La fonte non specifica la natura esatta dei dati esfiltrati, né se altri settori critici indiani siano stati coinvolti oltre quelli governativi e idroelettrici.

Domande frequenti

Mustang Panda ha sfruttato una vulnerabilità di Zoho WorkDrive?

No. L'abuso avviene tramite credenziali OAuth hardcoded che autenticano l'accesso a un account WorkDrive controllato dall'attaccante. Non emerge nel dossier alcuna vulnerabilità del servizio Zoho.

La campagna è ancora attiva?

Il beaconing confermato si è concluso il 22 giugno 2026. La fonte non documenta attività successive a quella data né afferma che la campagna sia terminata definitivamente.

Cosa rende ZOHOMURK tecnicamente distinto da altri tool C2 su cloud?

La specificità sta nell'uso di un singolo servizio cloud enterprise come dead drop bidirezionale, con lettura comandi da inbox e scrittura output in outbox, piuttosto che in canali di messaggistica o storage generici spesso usati da altri gruppi.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Sul tema

  • Gamaredon 2025: 35 campagne spear-phishing e 6 tool PowerShell contro l'Ucraina
  • SBU-FBI: campagna russa hacker account messaggistica
  • Microsoft rimuove 119 estensioni Edge con malware nascosto in immagini e font

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. welivesecurity.com
  3. unit42.paloaltonetworks.com
  4. therecord.media
  5. eset.com