Mustang Panda в Персидском заливе: PlugX через LNK/CHM и DOH

Коротко: В начале марта 2026 года злоумышленник, связанный с Китаем и потенциально с группировкой Mustang Panda, провёл многоэтапную киберкампанию против организаций в регионе Персидского залива. Атака использовала продвинутые техники социальной инженерии и сложную обфускацию для развертывания бэкдора PlugX.

Контекст и цель атаки

Операция пришлась на период эскалации конфликта на Ближнем Востоке и использовала тревожную тематическую повестку для завлечения жертв: в качестве приманки распространялся документ на арабском языке с ложным изображением ракетных ударов. Основная цель — получение стойкого доступа и сбор разведывательной информации на скомпрометированных системах в странах Персидского залива.

Сценарий атаки — по этапам

• Этап 1 — рассылка ZIP и запуск LNK: жертве отправлялся ZIP-архив, внутри которого находился Windows shortcut-файл (LNK) с именем photo_2026-03-01_01-20-48 .pdf.lnk. При исполнении LNK выполнялась команда cURL для загрузки CHM-файла с сервера компрометации.
• Этап 2 — загрузка и исполнение CHM: скачанный CHM-файл содержал запутанный шелл-код и несколько компонентов, включая поддельный PDF для имитации легитимного сообщения.
• Этап 3 — развёртывание загрузчика через DLL sideloading: на системе выявлен вредоносный загрузчик ShellFolderDepend.dll, внедряемый через механизм DLL sideloading, что указывает на намерение закрепиться в системе.
• Этап 4 — расшифровка и закрепление: шелл-код выполнял runtime-расшифровку с использованием пользовательского алгоритма XOR, создавал записи реестра для обеспечения автозапуска и разворачивал бэкдор PlugX.
• Коммуникации и скрытность: PlugX использовал HTTPS и дополнительно внедрил поддержку DNS-over-HTTPS (DOH) для повышения скрытности каналов C2.

Технический разбор

Анализ выявил сочетание нескольких продвинутых техник, направленных на затруднение анализа и устойчивость к обнаружению:

• Использование социально-инженерной приманки на арабском языке и мнимые артефакты (поддельный PDF) для повышения вероятности запуска вредоноса.
• Двухступенчатая цепочка: LNK → cURL → CHM; CHM выступал как контейнер для обфусцированного шелл-кода.
• Шелл-код применял _runtime_ расшифровку через пользовательский алгоритм XOR, что снижало эффективность статического анализа.
• Применение техник обфускации уровня вредоносного бинарного кода: _Control Flow Flattening (CFF)_ и _Mixed Boolean-Arithmetic (MBA)_, что характерно для наборов инструментов, применяемых участниками с China-nexus.
• DLL sideloading (ShellFolderDepend.dll) как способ запуска вредоносного кода под видом легитимной библиотеки.
• Механизмы закрепления: правки в реестре для автозапуска и сохранения устойчивого доступа при перезагрузке системы.
• Функции бэкдора PlugX: сбор системной информации, обновление конфигураций, организация прокси-связи между несколькими экземплярами PlugX, поддержка командного управления через зашифрованные каналы.

Особенности коммуникаций и скрытности

Для связи с C2 бэкдор использовал HTTPS, что усложняет сетевую инспекцию. Дополнительное включение DOH повышает вероятность обхода традиционных DNS-фильтров и затрудняет корреляцию сетевых индикаторов. Обфускация и запутанность шелл-кода дополнительно уменьшают шансы быстрого извлечения IOC.

Атрибуция

Ряд характеристик кампании — тематическая направленность, использование техник обфускации, характерные трюки с CHM/LNK/DLL sideloading — коррелируют с предыдущими операциями групп, связанными с China-nexus. В отчёте указывается потенциал связи с Mustang Panda, однако окончательная атрибуция требует дополнительной корреляции данных и разведывательных сигналов.

Последствия для целей и риски

Успешная эксплуатация цепочки приводит к устойчивой компрометации рабочих станций и серверов, утечке разведывательной информации и созданию сетей прокси, позволяющих злоумышленникам использовать скомпрометированные хосты для дальнейших операций. Риски особенно высоки для государственных структур, компаний инфраструктуры и организаций, вовлечённых в региональные процессы.

Рекомендации по защите и реагированию

• Не открывать вложения .lnk и архивы из непроверенных источников; при сомнении — изолировать их в безопасной среде (sandbox).
• Ограничить возможность исполнения CHM-файлов и блокировать подозрительные hh.exe-процессы там, где это возможно.
• Мониторить и блокировать нестандартную сетьевую активность: подозрительные HTTPS-соединения на неизвестные домены и использование DOH в средах, где это не требуется.
• Идентифицировать и расследовать случаи DLL sideloading, особенно загрузки ShellFolderDepend.dll и аналогичных библиотек из нестандартных директорий.
• Проверять автозагрузки и записи реестра на предмет нежелательных модификаций; использовать EDR с возможностью обнаружения runtime-расшифровки и техник CFF/MBA.
• Обновить политики безопасности по работе с вложениями электронной почты и внедрить фильтрацию контента на уровне шлюзов.
• Провести целевые IOC-сканирования и ретроспективный анализ сетевых логов для выявления ранних индикаторов компрометации.

«Атака демонстрирует сочетание классических приёмов социальной инженерии и современных методов обфускации — это повышает сложность обнаружения и требует комплексного подхода к защите», — комментируют аналитики по кибербезопасности.

Вывод

Кампания начала марта 2026 года — пример целенаправленной, многоэтапной операции с использованием сложных методов обфускации и устойчивых механизмов закрепления. Связь с Mustang Panda и признаки China-nexus указывают на наличие у оператора ресурсов и навыков, необходимых для долгосрочных кампаний разведывательного характера. Организациям в регионе Персидского залива и их партнёрам следует усилить мониторинг, оценить уязвимости в цепочке обработки вложений и внедрить описанные превентивные меры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.