Mustang Panda

📅 Source et contexte : Rapport publié le 21 avril 2026 par l’Acronis Threat Research Unit (TRU), documentant une nouvelle campagne d’espionnage attribuée avec une confiance modérée au groupe Mustang Panda. 🎯 Ciblage : La campagne cible le secteur bancaire indien, marquant un pivot géographique et sectoriel par rapport aux précédentes opérations visant des entités gouvernementales américaines. Une déviation secondaire vers la géopolitique coréenne est également mentionnée. 🔗 Chaîne d’attaque : ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🔍 Contexte Publié le 27 mars 2026 sur le blog personnel d’Abdullah Islam, cet article constitue une analyse technique approfondie d’une campagne attribuée au groupe APT Mustang Panda (lié à la Chine), ciblant des entités gouvernementales, diplomatiques et des ONG. L’échantillon analysé a été observé pour la première fois le 17 mars 2026. 🎯 Vecteur d’infection initial La chaîne d’infection débute par un fichier ZIP de spear-phishing nommé Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggérant un ciblage lié à l’infrastructure énergétique iranienne. Un fichier LNK malveillant déclenche silencieusement un script PowerShell en fenêtre cachée (-w H). ...

Source : Acronis Threat Research Unit (TRU). Dans un billet technique du 15 janvier 2026, Acronis TRU documente une campagne ciblée livrant un nouveau backdoor DLL, LOTUSLITE, via une archive ZIP à thème géopolitique liée aux relations États-Unis–Venezuela, contre des entités gouvernementales/politiques américaines. Vue d’ensemble. La chaîne d’infection repose sur un exécutable légitime et une DLL malveillante cachée, avec DLL sideloading pour exécuter un implant C++. LOTUSLITE communique avec un C2 à IP codée en dur, offre des fonctions de télécommande (shell interactif, opérations fichiers, exfiltration basique) et met en place une persistance robuste. La campagne est jugée axée espionnage (et non financière), à portée limitée mais à impact potentiel élevé sur des cibles stratégiques. ...

Selon Intezer, un nouveau variant du backdoor ToneShell attribué au groupe lié à la Chine Mustang Panda cible de nouveau le Myanmar et déploie des techniques d’antianalyse plus sophistiquées. Le malware s’installe via DLL sideloading (bibliothèque SkinH.dll), assure sa persistance via le Planificateur de tâches Windows, crée des répertoires aléatoires de 6 caractères dans AppData et génère un identifiant hôte GUID stocké dans C:\ProgramData\SystemRuntimeLag.inc. Il intègre du texte OpenAI/Pega AI comme remplissage, exécute des boucles de création de fichiers, effectue des validations de tick count et applique des sommeils aléatoires pour perturber l’analyse. ...