Mustang Panda missbraucht Zoho WorkDrive für Angriffe auf indische Behörden und Wasserkraft-Ziele

Zusammenfassung

Die China-nahe Spionagegruppe Mustang Panda fährt laut Acronis Threat Research Unit zwei laufende Kampagnen gegen Ziele in Indien. Betroffen sind indische Regierungsnetze sowie Einrichtungen aus dem Bereich Wasserkraft. Acronis meldet dabei aktive Kompromittierungen innerhalb von Behördennetzen, darunter Systeme, die von ranghohem Verwaltungspersonal genutzt werden. Die Forscher arbeiteten nach eigenen Angaben mit CERT-In an Benachrichtigung und Bereinigung. Technisch auffällig ist vor allem der Missbrauch von Zoho WorkDrive: Der legitime Cloud-Speicherdienst dient den Angreifern als Kanal für Befehle und zum Abfluss von Daten. Da der Verkehr wie gewöhnliche Cloud-Nutzung aussieht, tarnt er sich im Netzwerk, aus dem gleichzeitig Informationen entwendet werden. Acronis schreibt die Aktivität Mustang Panda mit hoher Zuversicht zu und nennt als mutmaßliches Ziel der beiden Kampagnen Erkenntnisse über Indiens Wasserkraftpläne sowie die Verteidigungsbeziehungen des Landes zu Taiwan.

Nach Angaben von Acronis gelangen beide Kampagnen über ZIP-Archive zu den Zielsystemen. Die schädliche DLL darin ist als verborgen markiert. Acronis geht davon aus, dass die Zustellung per Spear-Phishing erfolgte. Die Köder waren jeweils auf die Empfänger zugeschnitten: In einem Fall ging es um einen Vorschlag zur Zusammenarbeit im Bereich Wasserkraft, im anderen um eine Absichtserklärung zwischen indischen und taiwanischen Institutionen.

Die Forscher beschreiben drei neue Werkzeuge. Die Schadsoftware nutzt Zoho WorkDrive als Kommando-Kanal und für die Exfiltration von Daten. Gerade darin liegt laut Bericht der Vorteil für die Angreifer: Der Datenverkehr wirkt wie reguläre Cloud-Aktivität und fällt damit im kompromittierten Netzwerk weniger auf.

Für die Zuordnung zu Mustang Panda nennt Acronis mehrere technische Anhaltspunkte. Dazu gehören die erneut verwendete Sideloading-Kette über Solid PDF Creator, Code-Überschneidungen mit Toneshell, Kommando-Server im selben Netzblock wie Infrastruktur, die IBM X-Force bereits der Gruppe zugeschrieben hatte, sowie ein wiederkehrender Tippfehler: „RunOnece“ tauchte in mehreren Implantaten auf.

Auch operative Schwächen halfen bei der Analyse. Acronis verweist auf fest eincodierte Token, Kennungen im Klartext und wiederverwendete Infrastruktur. Aktives Beaconing beobachteten die Forscher vom 12. Juni bis zum 22. Juni 2026.

Die aktuellen Kampagnen fügen sich laut Bericht in eine längere Serie von Aktivitäten gegen Ziele in Indien ein. Im April brachte Acronis die Backdoor LOTUSLITE mit Angriffen auf den indischen Bankensektor und auf politische Kreise in Südkorea in Verbindung; auch dort lief die Inszenierung über einen legitimen Cloud-Dienst. Noch weiter zurück reicht das Interesse China-naher Akteure am indischen Energiesektor: Die Kampagne RedEcho zielte 2021 mit ShadowPad auf das Stromnetz des Landes.

Ein Software-Patch steht in diesem Fall nicht zur Verfügung. Acronis veröffentlichte stattdessen Indikatoren und Hinweise für die Suche nach Spuren. Genannt werden unter anderem Persistenz über Run-Schlüssel, eine geplante Aufgabe namens SolidPDFPcl2Bmp, die C2-Domain couldinstallup[.]com sowie Zoho-Benutzeragenten, die bei Prozessen außerhalb des Browsers auftauchen.

Acronis empfiehlt insbesondere Regierungs- und Energieorganisationen, vor allem mit Bezug zu grenzüberschreitenden Vorhaben, auf geopolitische Köder und Sideloading über signierte Binärdateien zu achten. Auffällig seien außerdem Endpunkt-Prozesse, die ohne plausiblen Grund Cloud-APIs ansprechen.

Mustang Panda missbraucht Zoho WorkDrive für Angriffe auf indische Behörden und Wasserkraft-Ziele

Ähnliche Artikel

Neueste Artikel