Mustang Panda, un actor estatal de la nación china, se ha vinculado a ataques sofisticados y dirigidos a entidades de asuntos exteriores europeas desde enero de 2023. Los investigadores de Check Point, Itay Cohen y Radoslaw Madej, descubrieron un implante de firmware personalizado diseñado para routers TP-Link, que cuenta con una puerta trasera llamada ‘Horse Shell’ que permite a los atacantes mantener el acceso, construir infraestructuras anónimas y moverse lateralmente en redes. El implante es firmware-agnóstico y se puede integrar en varios firmwares. Mustang Panda también se conoce como Camaro Dragon, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta y Red Lich. El método de implementación es desconocido, pero el acceso inicial pudo haberse obtenido a través de la explotación de fallas de seguridad o del uso de contraseñas predeterminadas/adivinables. Horse Shell permite comandos de shell arbitrarios, cargas/descargas de archivos y relé de comunicación entre dos clientes, y se cree que se dirige a dispositivos arbitrarios en redes residenciales para crear una red de malla para comunicaciones anónimas. Esta no es la primera vez que los actores de amenazas chinos han utilizado routers comprometidos para cumplir sus objetivos, ya que ANSSI reveló un conjunto de intrusiones orquestadas por APT31 (también conocido como Judgement Panda o Violet Typhoon) en 2021, que utilizó un malware llamado Pakdoor (o SoWat) para permitir que los routers se comuniquen entre sí.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.