Pour bien se défendre, il importe de bien connaitre son adversaire en identifiant les signaux faibles d'une menace émergente. A cet effet, Gatewatcher publie un rapport mensuel, le Cyber Threats Barometer, un panorama de l’activité des malwares préparé par LastInfoSec (plateforme de Cyber Threat Intelligence de Gatewatcher). La dernière mouture de cette enquête confirme les mutations permanentes de l’écosystème numérique des pirates qui s’en prennent aux Etats, aux ONG et globalement à tout ce que la Chine considère comme un ennemi.
Le groupe Mustang Panda, connu aussi sous les noms "RedDelta" ou « Bronze President », est un groupe de cybercriminels que l’on rattache au gouvernement chinois, sans que ces forts soupçons soient validés officiellement par les Etats et organisations victimes. Il est actif depuis au moins 2014.
D’après l’Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) du MITRE, une base de connaissances et un modèle de comportement des cyber-adversaires, Mustang Panda utilise des campagnes ciblées de phishing comme vecteur d’infection initial. Plus précisément, il s’agit de courriers avec des pièces jointes qui ressemblent à s’y méprendre à des documents légitimes d’intérêt national ou organisationnel pour les cibles, issus d’expéditeurs tout aussi crédibles.
Un mode d’opération qui fait appel au protocole MQTT
Au phishing classique, Mustang Panda fait appel à des RAT (Remote Access Trojans) spécifiques, comme PlugX (ou Korplug). Une fois que la cible infectée, ces RAT permettent de télécharger un outil de Command & Control (C&C) tel Poison Ivy ou Cobalt Strike pour établir une liaison avec un serveur contrôlé par Mustang Panda.Depuis janvier 2023, Mustang Panda exploite une porte dérobée inédite (backdoor), nommée MQsTTang, jeu de mots qui associe « Mustang » et « MQTT ». Cette backdoor plutôt basique permet à l’attaquant d’exécuter des commandes arbitraires sur la machine de sa victime et d’utiliser le protocole MQTT pour la communication C&C.
Dans le monde numérique légal, MQTT est un protocole couramment utilisé pour les échanges entre les dispositifs IoT et les contrôleurs. Il permet aux développeurs de chiffrer facilement les messages et d'authentifier les appareils et les utilisateurs via des protocoles d'authentification modernes, tels que OAuth, TLS1, etc.
La nouveauté que signale le rapport d’avril de Gatewatcher, c’est que ce protocole n’avait pas été jusqu’alors identifié dans la panoplie des pirates numériques.