アジア太平洋地域と日本のネットワークを対象とした数ヶ月間のスパイ活動で、FDMTPバックドアの更新版が確認されており、研究者はこの活動を中国系グループのMustang Pandaに関連付けています。
Darktrace の新しい分析によると、複数の顧客環境で2025年9月後半に有名なコンテンツ配信ネットワーク(CDN)になりすまし攻撃者インフラへのリクエストが始まり、2026年4月まで活動が続いていました。
Darctraceは、このキャンペーンが公開されているMustang Pandaの戦術と一致していると中程度の確実性で評価していますが、これらの手法は単一の攻撃者に限定されるものではないと指摘しています。
Darktrace が Twill Typhoon として追跡しているこのグループは、Earth Preta、Stately Taurus、Bronze President、TA416としても知られています。
CDNになりすましと DLL サイドローディング
影響を受けたホストは、Yahoo と Apple インフラになりすましたドメインから、正規の実行可能ファイル、対応する.configファイル、および悪意のある DLL を取得しました。
2026年4月の金融セクターの事例では、エンドポイントがvshost.exeやdfsvc.exeなどの正規バイナリを取得した後、11日間のウィンドウで対になった設定とDLLコンポーネントをフェッチしました。
サイドローディングチェーンは、正当なバイナリが予想されるライブラリと同じ名前の悪意のある DLL をロードするメカニズムに依存していました。
確認された事例では、悪意のある browser_host.dll が正当な Sogou Pinyin 入力方式バイナリ biz_render.exe の横に配置され、ペイロードが信頼できるプロセス内で実行されるようにしていました。
Mustang Pandaアクティビティについてさらに読む:中国ハッカーがスパイ活動でヨーロッパの政府を標的にしている
デコードされた文字列は、.NETランタイムをインプロセスでロードし、次のステージをマネージドアセンブリとして直接メモリに取得しました。
更新されたFDMTPとモジュラープラグイン
キャンペーンの最終段階のペイロードは、Darktrace によってバージョン3.2.5.1のFDMTPと識別される、高度にオブファスケートされた.NETバックドアです。このツールはMustang Pandaのセカンダリコントロールインプラントとして2024年にTrend Microによって最初に記録されました。
通信はDuplex Message Transport Protocol(DMTP)を使用したカスタムTCP経由で実行され、クラスタベースの解決、トークン検証、およびリモートタスク処理のための永続的なメッセージループがあります。
Darktrace はフレームワーク内の4つのロード可能なプラグインを特定しました。スケジュールされたタスク作成用、レジストリ永続性用、メインフレームワークのロードと永続化用、およびリモートファイル取得とプロセス操作用です。
永続性は、HKCU\Software\Microsoft\IME下のスケジュールされたタスクとレジストリエントリを通じて維持されます。また、別の更新チャネルが5分ごとにicloud-cdn[.]netをポーリングして新しいペイロードを取得します。
Darktrace は、ディフェンダーに振る舞いシーケンスをアンカーとするよう促しました。
「インフラストラクチャは回転し、ペイロードは変更される可能性がありますが、実行モデルは持続します」と同社は述べています。「ディフェンダーにとって、意味合いは明確です:個別のインジケーターにアンカーされた検出は急速に低下します。振る舞いシーケンスにアンカーされた検出はより耐久性のあるアプローチを提供します。」
翻訳元: https://www.infosecurity-magazine.com/news/mustang-panda-fdmtp-backdoor-apj/
