Mustang Panda, un actor d’estat xinès, s’ha relacionat amb atacs sofisticats i dirigits contra entitats de les relacions exteriors europees des de gener de 2023. Els investigadors de Check Point, Itay Cohen i Radoslaw Madej, van descobrir un implant de firmware personalitzat dissenyat per a routers TP-Link, que presenta una porta posterior anomenada ‘Horse Shell’ que permet als atacants mantenir l’accés, construir infraestructures anònimes i moure’s lateralment dins de les xarxes. L’implant és agnòstic de firmware i es pot integrar en diversos firmwares. Mustang Panda també és conegut com Camaro Dragon, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta i Red Lich. El mètode de desplegament és desconegut, però l’accés inicial podria haver estat obtingut mitjançant l’explotació de vulnerabilitats de seguretat o mitjançant paraules de pas per defecte o endevinables. Horse Shell permet comandes de shell arbitràries, pujades/baixades de fitxers i relé de comunicació entre dos clients, i es creu que s’utilitza per a objectius arbitraris de xarxes residencials per crear una xarxa de malla per a comunicació anònima. Aquest no és el primer cop que els actors de la amenaça xinesa han utilitzat routers compromesos per satisfer els seus objectius, ja que l’ANSSI va revelar un conjunt d’intrusió orquestrat per APT31 (també conegut com Judgement Panda o Violet Typhoon) el 2021, que va utilitzar un malware anomenat Pakdoor (o SoWat) per permetre que els routers es comuniquessin entre ells.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.