Mustang Panda、ZOHOMURKとMINIRECONを用いてインドの政府・エネルギーセクターを標的に

Mustang Pandaによる2つの並行スパイキャンペーンが確認されました。インドの政府機関およびエネルギーセクター組織を標的とし、SHARDLOADER、MINIRECON、ZOHOMURKを含む新たなマルウェアスイートを展開しています。

2026年6月に観測されたこれらの侵入活動は、水力発電関連企業および台湾の機関と覚書(MOU)を締結している政府機関に集中しており、地政学的なテーマを使ったルアーと、正規の署名済みバイナリ経由で悪意のあるDLLをサイドロードする武器化アーカイブが使用されました。

SHARDLOADERのバリアントv1.0は、C:\ProgramData\IDM\logs配下に隠しステージングパスを作成し、サイドロードホストと悪意のあるDLLをそこにコピーしたうえで、.rdataセクション内の断片化した定数から難読化されたシェルコードペイロードを再構築します。

このペイロードはローリングXORとバイト並べ替えルーティンによって復号され、実行可能メモリに割り当てられた後、EnumSystemLocalesAコールバックの悪用を介して呼び出され、MINIRECONを起動します。

MINIRECONは、既知のToneshellファミリーを進化させたものです。PEBウォーキングによるAPI解決、特徴的な13131313ハッシュ乗数、線形合同法(LCG)ベースのセッションキーメカニズムといったToneshellのコアアーティファクトを踏襲しつつ、WinHTTPを用いたWebSocket over HTTPS C2通信を新たに実装しています。

Acronis TRUの報告によると、両キャンペーンともに、署名済みランチャーと隠し悪意DLLを含むスピアフィッシングアーカイブから始まります。

Image

実行されると、正規の実行ファイルがDLLサイドローディングを通じて攻撃者の制御するDLLを読み込み、SHARDLOADERが永続化を確立してさらなるペイロードをステージングできる状態になります。

Mustang Pandaによるインド政府機関への攻撃

このインプラントはWebSocketモードへアップグレードし、自己署名証明書を受け入れるために証明書検証を無効化するとともに、プロキシフォールバックロジックを備えており、エンタープライズ環境における堅牢かつステルス性の高いコマンド&コントロールを実現しています。

Image

MINIRECONは、デュアルリバースシェル、ファイル転送、リモートコマンド実行、オペレーター主導のライブ偵察をサポートしています。Acronisは、オペレーターが被害者を積極的に調査し、サンドボックス環境での解析を妨害しようとする様子を観測しています。

第2キャンペーンのSHARDLOADER v1.1は、異なるステージャーをドロップします。署名済みのCitrixバイナリ(pcl2bmp.exe)とctxmui.dllが使用されており、後者がZOHOMURKです。ZOHOMURKはZoho WorkDriveをC2および情報窃取に悪用している点が特徴的です。

合計69の関数がランタイムでペイロードを再構築します。各関数は、散在する場所から32個のハードコードされた16バイトXMM定数を一時バッファに読み込み、その後ヒープ領域にコピーします。

このインプラントはハードコードされた認証情報を使ってZohoのOAuth APIに認証し、被害者ごとのフォルダー(メインフォルダーと送信ボックス)を作成します。WorkDriveをポーリングしてコマンドファイルを取得・復号してローカルで実行し、結果をオペレーターの送信ボックスにアップロードします。

Image

コマンドはシンプルなオペコードで処理されます。ファイル操作、インタラクティブシェルコマンド、シェルの終了などが対象で、コマンドファイルは使用後に削除されて痕跡を最小限に抑える仕組みになっています。

ZOHOMURKはタイミングベースのアンチ解析チェックも実装しており、v1.1ではCOMベースのスケジュールタスクによる永続化機能と、オペレーターフォルダーが削除された場合にWorkDriveチャネルを復元するハートビートループも備えています。

TRUは、共通のトレードクラフト、キャンペーン間でのSolid PDF Creatorのサイドローディングホストとしての再利用、Toneshell/TONESHELL派生インプラントとのコード重複、一貫したスペルミス(例:「RunOnece」)、および繰り返し見られるインフラパターンに基づき、高い確度でMustang Pandaとの関連を結論付けています

注目すべき点として、MINIRECONのWebSocket C2はcouldinstallup[.]comに解決され、Mustang Panda関連の活動と以前から関連付けられているサブネット内のIPにホストされていました。

AcronisはCERT-Inと連携して影響を受けた関係者に通知するとともに、侵害の痕跡(IoC)を共有しながら被害者固有の詳細情報は秘匿しています。

防御チームは以下の点を重点的に調査することを推奨します。説明された永続化アーティファクト(Runキー、SolidPDFPcl2Bmpという名称のスケジュールタスク)、RWXメモリ割り当て後にEnumSystemLocalesAを呼び出す異常プロセス、Project Proposal.exe + SolidPDFCreator.dllpcl2bmp.exe + ctxmui.dllなどのDLLサイドローディングペア、非ブラウザープロセスからZoho WorkDriveへのHTTPSトラフィック、そして不審なドメインへのWebSocket接続です。

ZOHOMURKは正規のクラウドプラットフォームを悪用し、MINIRECONは証明書チェックを無効化したWebSocketトンネリングを使用しているため、アプリケーション層の動作とOAuthトークンの使用状況を監視することが極めて重要です。

侵害の痕跡(IoC)

ファイル名 / 説明 SHA256ハッシュ
Hydropower Cooperation Project Proposal.zip cd9397797216fd4c08df324937509124e57258328c8e4c6d795c6a2cd25b69b0
SolidPDFCreator.dll Ebd533de7ca16daa70093b0b1084fb6136b6ba091d6ee0e4199762581e1b2e5a
Hydropower Cooperation Project Proposal.exe Fcf4efa82d477c924d42cc6b71aa672ab2381ca256769925ae34dabe2e77e025
test.doc 390148f5157c0f6b337ff19d162c3c2ee3e6d782fdfbe11fb1e411c0684fd33b
ctxmui.dll – ZOHOMURKバリアント1 5f22ec5c14dfd47c92850a5fb3bd8e3754d538b8021b6238238e4020336cfb5c
MOU USI-INDSR TAIWAN.zip F53fd0626404a129dcddb8ee7589387dd7bda7999814e0df46c670af6b3da5f5
SolidPDFCreator.dll(重複名) A43084f5af861f44c75c5273c779cb26d506cab6b51c33746626da504148a4ec
ctxmui.dll – ZOHOMURKバリアント2 F2bed071676feb831ed460489643fd57f6c6c1e0d024a1ea447820276fb13828

注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してご使用ください。

翻訳元: https://gbhackers.com/mustang-panda-targets-indias-government/

ソース: gbhackers.com