g0129-mustang-panda

# Mustang Panda ## Visão Geral Mustang Panda (também rastreado como Earth Preta, TA416, RedDelta e TWILL TYPHOON) e um grupo de espionagem cibernética atribuido ao governo da República Popular da China. Ativo desde pelo menos 2012, o grupo e considerado **um dos APTs chineses mais ativos e prolíficos em 2024-2025**, com campanhas documentadas contra governos, organizacoes diplomaticas, maritimas, forcas de segurança e ONGs na Asia, Europa e Américas. A caracteristica central do arsenal do Mustang Panda e o uso de **DLL sideloading** com binarios legiimos e assinados para executar payloads maliciosos furtivamente. O grupo utiliza **geofencing via Cloudflare** para restringir entrega de payloads apenas a paises-alvo específicos. Em janeiro de 2025, uma **operação de lei multinacional** removeu o malware PlugX de mais de 4.200 computadores americanos - porém o grupo rapidamente se adaptou com novos implantes como [[lotuslite|LOTUSLITE]] e [[snakedisk|SnakeDisk]]. Em outubro de 2025, o grupo (rastreado como UNC6384) foi observado explorando uma **vulnerabilidade zero-day em arquivos LNK do Windows** (ZDI-CAN-25373, abusada por 11 grupos de estados-nacao desde 2017) contra diplomatas europeus em Belgica, Hungria, Italia, Holanda e Serbia. **Também conhecido como:** Mustang Panda, TA416, RedDelta, BRONZE PRESIDENT, STATELY TAURUS, FIREANT, CAMARO DRAGON, EARTH PRETA, HIVE0154, TWILL TYPHOON, TANTALUM, LUMINOUS MOTH, UNC6384, TEMP.Hex, Red Lich, HoneyMyte, Polaris ## Campanhas Recentes (2024-2026) > [!danger] Campanha Ativa - Diplomaticos Europeus 2025 > Em setembro e outubro de 2025, UNC6384/Mustang Panda explorou uma vulnerabilidade LNK zero-day nao corrigida (ZDI-CAN-25373) contra diplomaticos europeus. Os arquivos maliciosos utilizavam agendas de reunioes diplomaticas como isca, executando via PowerShell e DLL sideloading para implantar [[s0013-plugx|PlugX]] com um certificado Canon expirado mas com timestamp válido. > [!warning] Operação Law Enforcement - Janeiro 2025 > O DoJ americano e o FBI, em operação coordenada com parceiros internacionais, removeram [[s0013-plugx|PlugX]] de mais de 4.258 computadores americanos. As autoridades francesas já tinham capturado o IP do servidor C2 do PlugX em 2023. O grupo rapidamente retooled com [[lotuslite|LOTUSLITE]] e [[snakedisk|SnakeDisk]]. > [!warning] Campanha COOLCLIENT 2024-2025 > O Kaspersky documentou versoes atualizadas do [[coolclient|COOLCLIENT]] contra governos de Myanmar, Mongolia, Malaysia e Russia, incluindo keylogging, monitoramento de clipboard, furto de credenciais de browsers (Chrome, Edge, Firefox) e módulos de gestao remota. ### Timeline ```mermaid timeline title Mustang Panda - Linha do Tempo 2012 : Primeiras atividades documentadas 2014 : Think tank americano comprometido 2020 : Expansao para organizacoes religiosas e Vatican 2022 : Campanhas contra governos da UE durante invasao da Ucrania 2023 : Captura servidor C2 PlugX pelas autoridades francesas 2024 : TONESHELL e COOLCLIENT com novas versoes - campanha ASEAN 2025-01 : FBI remove PlugX de 4.258 computadores americanos 2025-02 : Royal Thai Police comprometida via Yokai backdoor 2025-10 : Zero-day LNK contra diplomaticos na Belgica Hungria Italia 2026 : LOTUSLITE e SnakeDisk contra organizacoes de politica americana ``` ## Arsenal de Malware | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0013-plugx\|PlugX]] | RAT - espionagem | Nucleo historico - acesso remoto, keylogging, exfiltração | | [[s1239-toneshell\|TONESHELL]] | Backdoor persistente | C2 customizado, variante "Frankenstein" Myanmar 2025 | | [[coolclient\|COOLCLIENT]] | Backdoor avancado | Keylogging, clipboard, módulos customizaveis | | [[yokai\|Yokai]] | Backdoor | Campanha Policia Real Tailandesa 2025 | | [[snakedisk\|SnakeDisk]] | Worm USB | Propagação via pendrive, geofencing por IP Tailandia | | [[lotuslite\|LOTUSLITE]] | Backdoor HTTP | Substituiu PlugX pos-operação Law Enforcement | | [[s0596-shadowpad\|ShadowPad]] | Framework modular | Ferramentas avancadas compartilhadas com outros APTs chineses | ## Attack Flow Operacional ```mermaid graph TB A["Reconhecimento Pesquisa OSINT de alvos T1593 + Cloudflare geofencing"] --> B["Acesso Inicial Spear-phishing LNK/PDF/MSC T1566.001 + T1204.002"] B --> C["Execução DLL Sideloading em binario assinado T1574.001 + T1218"] C --> D["Persistência Scheduled Task + chaves de registro T1053.005 + T1547.001"] D --> E["Defesa Evasion Masquerade como app legitimo T1036 + binario assinado expirado"] E --> F["Coleta COOLCLIENT - keylog clipboard T1056 + T1115"] F --> G["C2 Furtivo XOR obfuscado via PlugX/ToneShell T1071.001 + SoftEther VPN"] G --> H["Exfiltração HTTP POST via C2 channel T1041 + T1567.002"] style A fill:#c0392b,color:#fff style B fill:#e74c3c,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#27ae60,color:#fff style F fill:#2980b9,color:#fff style G fill:#8e44ad,color:#fff style H fill:#16a085,color:#fff ``` ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1593-search-open-websitesdomains|T1593 - Search Open Websites/Domains]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1574-001-dll|T1574.001 - DLL Search Order Hijacking]] ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Expansao para Alvos Ocidentais > O Mustang Panda tem historico de focar em entidades diplomaticas, think tanks, ONGs e institutos de pesquisa. Com a expansao documentada para Europa e Américas (incluindo organizacoes de politica dos EUA em 2026 com LOTUSLITE), o risco para organizacoes brasileiras que operam em areas de interesse geopolitico chines e crescente. **Setores de risco direto para o Brasil:** missoes diplomaticas, institutos de pesquisa com foco em Asia, ONGs com atuacao internacional, organizacoes maritimas e portuarias. A técnica de **DLL sideloading com binarios assinados** torna a detecção por soluções tradicionais de antivirus extremamente difícil. Controles de USB e monitoramento de DLL sideloading sao contramedidas prioritarias. ## Detecção > [!tip] Sinalizadores de Detecção > - Processos legitimos (VLC, Bitdefender, Canon) carregando DLLs de diretorios nao-padrao > - Arquivos LNK executando PowerShell oculto ou mshta.exe > - Instalacao do SoftEther VPN em endpoints corporativos > - Trafego XOR-obfuscado em porta TCP 5000 ou HTTP POST incomum > - Dispositivos USB novos criando arquivos .exe ou .lnk automaticamente > - Chaves de registro de autorun com nomes que imitam servicos legitimos (ex: "OneNote Updaté") ## Referências [1](https://thehackernews.com/2026/01/mustang-panda-deploys-updated.html) The Hacker News - COOLCLIENT Updated Backdoor 2025 (Ján 2026) [2](https://www.justice.gov/archives/opa/pr/justice-department-and-fbi-conduct-international-operation-delete-malware-used-china-backed) DOJ - PlugX Removal Operation (Ján 2025) [3](https://www.picussecurity.com/resource/blog/breaking-down-mustang-panda-windows-endpoint-campaign) Picus Security - LOTUSLITE SnakeDisk ToneShell Analysis (Ago 2025) [4](https://brandefense.io/blog/mustang-panda-apt-2025/) BrandDefense - Mustang Panda Persistent Threat 2025 (Set 2025) [5](https://www.theregister.com/2025/10/30/suspected_chinese_snoops_abuse_unpatched/) The Register - Zero-day LNK contra diplomaticos europeus (Out 2025) [6](https://attack.mitre.org/groups/G0129/) MITRE ATT&CK - G0129 Mustang Panda