Malware e Vulnerabilità

Mustang Panda colpisce il governo indiano: ZOHOMURK usa Zoho WorkDrive come canale C2 segreto

Dario Fadda 30 Giugno 2026

Il gruppo APT cinese Mustang Panda ha colpito reti governative indiane e il settore idroelettrico con un toolkit malware completamente rinnovato, abusando di Zoho WorkDrive come canale di comando e controllo. La scoperta, firmata da Acronis Threat Research Unit in collaborazione con il CERT-In indiano, rivela come gli attori statali stiano sempre più sfruttando servizi cloud legittimi per mimetizzare il traffico malevolo all’interno delle reti bersaglio.

Il contesto: Mustang Panda e l’India

Mustang Panda — noto anche come Earth Preta, BRONZE PRESIDENT, RedDelta, STATELY TAURUS e CAMARO DRAGON — è uno dei gruppi di cyberspionaggio più attivi nell’orbita dell’intelligence cinese. Attivo almeno dal 2012, il gruppo ha storicamente preso di mira governi del Sud-Est asiatico, istituzioni religiose, ONG e — con crescente frequenza — obiettivi indiani legati alle dispute territoriali e alle partnership geopolitiche di New Delhi.

Il precedente attacco significativo contro l’India risale all’aprile 2026, quando Acronis aveva attribuito al gruppo l’uso del backdoor LOTUSLITE contro il settore bancario indiano e circoli policy sudcoreani, già allora con infrastruttura cloud come relay. Prima ancora, nel 2021, la campagna RedEcho — attribuita a attori cinesi da Recorded Future — aveva preso di mira le centrali elettriche dell’India con ShadowPad. Il pattern è chiaro: la Cina ha un interesse strategico consolidato nelle infrastrutture energetiche indiane.

Le due campagne di giugno 2026

Acronis TRU ha identificato due campagne parallele con beaconing attivo rilevato tra il 12 e il 22 giugno 2026 su macchine usate da personale amministrativo di alto livello. I bersagli sono stati selezionati con precisione chirurgica:

  • Campagna A: obiettivo il settore idroelettrico indiano, con lure a tema cooperazione su impianti idroelettrici.
  • Campagna B: obiettivo enti governativi indiani coinvolti in accordi di cooperazione (MOU) con istituzioni taiwanesi.

Entrambe le campagne sono state consegnate tramite archivi ZIP contenenti una DLL malevola marcata come file nascosto. Il vettore di accesso iniziale è ritenuto lo spear-phishing: il documento esca risultava contestualmente credibile per il destinatario, aumentando drasticamente la probabilità di esecuzione.

Il toolkit: SHARDLOADER, MINIRECON e ZOHOMURK

Il cuore tecnico dell’operazione risiede in tre componenti inediti o fortemente rielaborati:

SHARDLOADER

E’ il loader iniziale, eseguito tramite DLL sideloading da un binario legittimamente firmato. Nella campagna A, il binario ospite e’ un eseguibile di Solid PDF Creator; nella campagna B viene utilizzato un binario di Citrix Receiver. La tecnica sfrutta la fiducia del sistema operativo nei confronti dei binari firmati per caricare codice arbitrario senza triggerare alert standard degli EDR. SHARDLOADER funge da stager, deployando uno degli altri due implant a seconda del target.

MINIRECON

Si tratta di una variante rielaborata del backdoor Toneshell, gia’ documentato da IBM X-Force come strumento tipico di Mustang Panda. La novita’ principale e’ il protocollo di beaconing: MINIRECON comunica con i server C2 tramite connessione WebSocket su HTTPS, rendendo il traffico indistinguibile da normali sessioni web cifrate. Il cambio di protocollo rispetto alla versione originale di Toneshell rappresenta un aggiornamento operativo significativo, pensato per eludere i sistemi di ispezione profonda del traffico di rete.

ZOHOMURK: il C2 nascosto nel cloud aziendale

Questo e’ l’elemento piu’ sofisticato e originale dell’operazione. ZOHOMURK e’ un implant che porta hardcoded le credenziali OAuth di Zoho, utilizzate per autenticarsi su un account WorkDrive controllato dagli attaccanti. Il meccanismo di C2 e’ implementato come un classico dead drop:

  • Inbox folder: i comandi impartiti dagli operatori vengono scritti in questa cartella dall’attaccante.
  • Outbox folder: i dati esfiltrati dalla vittima vengono scritti dall’implant in questa cartella, dove l’attaccante li recupera periodicamente.

La scelta di Zoho WorkDrive non e’ casuale: e’ una piattaforma ampiamente adottata nel settore governativo indiano. Il traffico verso i server Zoho e’ quindi whitelistato per definizione nelle policy di rete delle organizzazioni bersaglio. Non c’e’ alcun dominio C2 sospetto da bloccare: tutto il traffico di comando e controllo appare come normale utilizzo di un servizio SaaS autorizzato. E’ esattamente il tipo di Living-off-the-Cloud (LoC) che rende inutili le soluzioni di blocco basate su reputazione dei domini.

Attribution e OPSEC: gli errori che hanno tradito il gruppo

Nonostante la sofisticazione del toolkit, Mustang Panda ha mostrato lacune significative nella sicurezza operativa. Acronis ha potuto attribuire l’attivita’ con alta confidenza grazie a piu’ elementi convergenti: la sovrapposizione di codice con Toneshell gia’ legato al gruppo da IBM X-Force; un typo ricorrente negli implant — la chiave di registro “RunOnece” (anziche’ “RunOnce”) — che funge da fingerprint involontario; l’infrastruttura C2 ospitata nello stesso netblock gia’ associato al gruppo; token OAuth hardcoded e identificatori in plaintext che hanno facilitato l’analisi statica e la notifica a Zoho per la chiusura degli account malevoli.

Indicatori di Compromissione (IoC)

# Persistenza -- chiave di registro Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RunOnece

# Scheduled Task
Nome task: SolidPDFPcl2Bmp

# Dominio C2
couldinstallup[.]com

# Anomalia da monitorare (behavioural)
- Processi non-browser che aprono connessioni verso workdrive.zoho.com
- User-Agent Zoho rilevato su processi senza legittima ragione di accesso a WorkDrive

# DLL sideloading -- binari legittimi da monitorare
- Solid PDF Creator che carica DLL inattese dalla stessa directory
- Citrix Receiver che carica DLL inattese dalla stessa directory

Implicazioni geopolitiche e due righe per i difensori

La selezione dei target rivela con precisione gli interessi strategici di Pechino. La campagna focalizzata sull’idroelettrico si inserisce nel contesto della storica rivalita’ sino-indiana sulle risorse idriche himalayane, dove la Cina controlla le sorgenti di fiumi vitali per l’India. La campagna contro gli enti che gestiscono accordi con Taiwan segue invece la logica del monitoraggio delle alleanze diplomatiche di New Delhi.

Questo attacco non si contrasta con patch o aggiornamenti software: il vettore e’ l’ingegneria sociale e l’abuso di strumenti legittimi. Le difese piu’ efficaci comprendono: sandbox email configurate per detonare ZIP con DLL nascoste anche se firmate; regole EDR/XDR per rilevare sideloading da Solid PDF Creator e Citrix Receiver; monitoraggio del traffico cloud su processi non-browser verso WorkDrive; threat hunting su chiavi Run con errori ortografici e scheduled task con nomi inusuali; awareness del personale su lure geopolitiche ricevute via email.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Mustang Panda colpisce il governo indiano: ZOHOMURK usa Zoho WorkDrive come canale C2 segreto, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]

== su di me ==

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it.
Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari).
Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche.

Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.