Mustang Panda, một đối tác quốc gia Trung Quốc, đã được liên kết với các cuộc tấn công tinh vi và định hướng chống lại các cơ quan ngoại giao châu Âu kể từ tháng 1 năm 2023. Các nhà nghiên cứu tại Check Point, Itay Cohen và Radoslaw Madej, đã phát hiện ra một bản cài đặt phần mềm tùy chỉnh dành cho bộ định tuyến TP-Link, có chứa một “lối vào hậu cửa” được gọi là ‘Horse Shell’ cho phép kẻ tấn công duy trì quyền truy cập, xây dựng cơ sở hạ tầng ẩn danh và di chuyển ngang vào các mạng. Bản cài đặt này không phụ thuộc vào firmware và có thể được tích hợp vào nhiều firmware khác nhau. Mustang Panda cũng được biết đến với một số tên khác như Camaro Dragon, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta và Red Lich. Phương thức triển khai không được biết đến, nhưng quyền truy cập ban đầu có thể đã được đạt được thông qua việc khai thác các lỗ hổng bảo mật hoặc sử dụng mật khẩu mặc định/dễ đoán. Horse Shell cho phép các lệnh shell tùy ý, tải lên/tải xuống tệp và truyền thông giữa hai máy khách, và được cho là nhắm vào các thiết bị tùy ý trên mạng gia đình để tạo một mạng lưới liên kết cho giao tiếp ẩn danh. Đây không phải là lần đầu tiên các đối tác đe dọa từ Trung Quốc đã sử dụng bộ định tuyến đã bị xâm nhập để đạt được mục tiêu của họ, như ANSSI đã tiết lộ một bộ công cụ xâm nhập do APT31 (còn được gọi là Judgement Panda hoặc Violet Typhoon) thực hiện vào năm 2021, sử dụng phần mềm độc hại gọi là Pakdoor (hoặc SoWat) để cho phép bộ định tuyến giao tiếp với nhau.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.