ESETはこのほど、「MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT|WeLiveSecurity」において、中国の脅威グループが新たなバックドア型マルウェアを使い、ソーシャルエンジニアリングキャンペーンを展開していると伝えた。「MQsTTang」と呼ばれるこれまで発見されたことのないバックドアがサイバー攻撃に使われていることが明らかとなった。

  • MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT|WeLiveSecurity

    MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT|WeLiveSecurity

中国に拠点を置く持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「Mustang Panda」が最新のバックドアを使い、キャンペーンを展開していることがわかった。

MQsTTangを使ったキャンペーンが初めて観測されたのはブルガリアおよびオーストラリアとされている。台湾政府機関を標的にしていることを示唆する情報も確認されており、ヨーロッパやアジアの政府機関もターゲットにされていると考えられている。

  • Map showing known and suspected targets of MQsTTang|WeLiveSecurity

    Map showing known and suspected targets of MQsTTang|WeLiveSecurity

MQsTTangは被害者のマシン上で任意のコマンドを実行し、その出力を窃取できるシンプルなバックドアだという。コマンド&コントロール(C2: Command and Control)通信にMQTTプロトコルを使用していることがユニークな点として挙げられている。MQTTは通常、モノのインターネット(IoT: Internet of Things)デバイスとコントローラ間の通信に使用されるプロトコルで、これまでマルウェアに使われたことは少ないとされている。

インフラストラクチャを隠せることがMQTTプロトコルを使う利点の一つであり、感染したマシンがC&Cサーバと直接通信することはないと説明されている。MQTTプロトコルの使用はオープンソースのQMqttライブラリを使うことで実現されており、このライブラリはQtフレームワークに依存しているという。マルウェアの開発にQtフレームワークが利用されているのは一般的でなく、かなり珍しいと伝えている。

  • Execution graph showing the subprocesses and executed tasks|WeLiveSecurity

    Execution graph showing the subprocesses and executed tasks|WeLiveSecurity

ESETは、発見されたMustang Pandaのキャンペーンが現在も継続と分析しており、被害状況は不明としている。Mustang Pandaは少なくとも2020年以降、ヨーロッパの政府機関を標的にしていることが知られており、ロシアのウクライナ侵攻以降、ヨーロッパでの活動がさらに活発になっていると警告している。