Китайская APT-группа Mustang Panda вновь в центре внимания, проводя серию утонченных атак на европейские внешнеполитические ведомства с начала 2023 года.

Специалисты Check Point обнаружили поддельную прошивку, специально разработанную для маршрутизаторов TP-Link. Внутри обнаружили вредоносный «Horse Shell» - "конный" бэкдор, который обеспечивает хакерам возможность поддерживать постоянный доступ, создавать анонимную инфраструктуру и проникать в компрометированные сети. Особенность в том, что он может интегрироваться в разные прошивки от различных поставщиков.

Вся эта драма сконцентрирована вокруг маршрутизаторов, используемых в домашних сетях. По всей видимости, взломанные маршрутизаторы объединяются в mesh-сеть, создающую цепочку узлов между основными и реальными C2-серверами.

Как и в случае с TOR, злоумышленники пытаются скрыть источник и место назначения трафика, что затрудняет определение масштабов атаки. И это не первый случай использования такой тактики. В 2021 году APT31 использовали подобную стратегию, описанную Французским национальным агентством кибербезопасности (ANSSI).

Добро пожаловать в 2023 год, где ваш маршрутизатор может стать частью международного кибер-конфликта.

#HorseShell #MustangPanda #TPLink @SecLabNews