Mustang Panda, un attore statale cinese, è stato collegato a sofisticati e mirati attacchi contro enti di politica estera europei dal gennaio 2023. I ricercatori di Check Point Itay Cohen e Radoslaw Madej hanno scoperto un impianto di firmware personalizzato progettato per router TP-Link, che presenta una backdoor chiamata ‘Horse Shell’ che consente agli attaccanti di mantenere l’accesso, costruire infrastrutture anonime e muoversi lateralmente nei network. L’impianto è firmware-agnostico e può essere integrato in vari firmware. Mustang Panda è noto anche come Camaro Dragon, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta e Red Lich. Il metodo di distribuzione è sconosciuto, ma l’accesso iniziale potrebbe essere stato ottenuto sfruttando vulnerabilità di sicurezza o utilizzando password predefinite/indovinabili. Horse Shell consente comandi di shell arbitrari, upload/download di file e relay di comunicazione tra due client e si ritiene che sia destinato a dispositivi arbitrari su reti domestiche per creare una rete mesh per la comunicazione anonima. Questa non è la prima volta che gli attori minaccia cinesi hanno utilizzato router compromessi per raggiungere i loro obiettivi, come ha rivelato ANSSI un insieme di intrusione orchestrato da APT31 (noto anche come Judgement Panda o Violet Typhoon) nel 2021, che ha utilizzato un malware chiamato Pakdoor (o SoWat) per consentire ai router di comunicare tra loro.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.