Группировка Mustang Panda, работающая в интересах Китая, провела две целевые кампании против государственных сетей Индии и объектов гидроэнергетики. Об этом сообщил Acronis Threat Research Unit, который также уведомил индийскую группу реагирования на киберинциденты CERT-In для проведения очистки заражённых систем. Под удар попали машины старших административных сотрудников — именно тех, кто имеет доступ к чувствительным документам.
Разведывательные цели двух кампаний вполне конкретны: планы Индии по развитию гидроэнергетики и её оборонные связи с Тайванем. Acronis оценивает атрибуцию как высокодостоверную. Первоначальное проникновение, по всей видимости, осуществлялось через целевой фишинг: жертвы получали ZIP-архивы со скрытой вредоносной DLL. В первой кампании приманкой служило предложение о сотрудничестве в сфере гидроэнергетики, во второй — проект меморандума о взаимопонимании между индийскими и тайваньскими учреждениями.
Acronis задокументировал три новых инструмента, задействованных в этих атаках. Первый — загрузчик SHARDLOADER, который использует технику подмены DLL через легитимно подписанные бинарные файлы. В первой кампании для этого применялся исполняемый файл Solid PDF Creator, во второй — бинарный файл Citrix Receiver. SHARDLOADER разворачивает один из двух имплантов в зависимости от конфигурации.
Второй инструмент — бэкдор MINIRECON, переработанный вариант ранее задокументированного бэкдора Toneshell. IBM X-Force первыми описали Toneshell и связали его с Mustang Panda. MINIRECON взаимодействует с командными серверами через WebSocket-соединение поверх HTTPS, что существенно затрудняет его обнаружение на уровне сетевого трафика.
Третий и наиболее интересный с точки зрения техники инструмент — ZOHOMURK. Этот имплант содержит жёстко прописанные учётные данные Zoho OAuth и использует подконтрольный атакующим аккаунт Zoho WorkDrive в качестве мёртвого ящика. Команды читаются из папки inbox, а похищенные данные записываются в папку outbox. Трафик при этом выглядит как обычная облачная активность и сливается с легитимными обращениями к сервису.
Выбор Zoho WorkDrive не случаен — платформа широко распространена именно в государственном секторе Индии. Трафик к ней не вызывает подозрений у сетевых фильтров, поскольку неотличим от обычной работы сотрудников с облачным хранилищем. Активное взаимодействие с C2-инфраструктурой фиксировалось с 12 по 22 июня 2026 года. Командный домен атакующих — couldinstallup[.]com, а для закрепления в системе использовались ключи реестра Run и запланированная задача с именем SolidPDFPcl2Bmp.
Атрибуция подкреплена несколькими независимыми слоями доказательств. Цепочка подмены DLL через Solid PDF Creator уже встречалась в предыдущих операциях Mustang Panda. Есть пересечения кода с Toneshell. Командные серверы расположены в той же сетевой подсети, которую IBM X-Force ранее связали с этой группировкой. Наконец, во всех имплантах обнаружена одна и та же опечатка — «RunOnece» вместо «RunOnce» — кочующая из кампании в кампанию как невольная цифровая подпись.
Что касается ошибок операционной безопасности самих атакующих: жёстко прописанные токены, идентификаторы в открытом тексте и повторно используемая инфраструктура оказались именно теми уликами, которые позволили аналитикам Acronis установить связь между кампаниями и выйти на Mustang Panda. Группировка давно работает методично и терпеливо, но сэкономила на зачистке следов.
Апрельская активность 2026 года показала схожий почерк: тогда Acronis связал с Mustang Panda бэкдор LOTUSLITE, применявшийся в атаках на индийский банковский сектор и южнокорейские аналитические круги, причём тоже с использованием легитимного облачного сервиса в качестве канала управления. Ещё раньше, в 2021 году, кампания RedEcho с применением малвари ShadowPad атаковала электросети Индии — тоже с китайской атрибуцией. Гидроэнергетика и оборонная кооперация Индии с Тайванем давно входят в сферу интересов Пекина.
Защита от подобных атак не сводится к патчингу — никакой уязвимости в программном обеспечении здесь нет. Акцент должен быть сделан на перехвате на этапе доставки (фишинговые письма с ZIP-вложениями), выявлении аномального обращения к облачным API, мониторинге подозрительной загрузки DLL через подписанные бинарные файлы и детектировании агентов Zoho в процессах, которым незачем обращаться к этому сервису. Любой процесс на конечной точке, вызывающий облачные API без очевидной причины, заслуживает отдельного внимания. Приоритет защиты — государственные и энергетические организации, особенно те, что участвуют в трансграничных проектах, представляющих интерес для Пекина.
Разведывательные цели двух кампаний вполне конкретны: планы Индии по развитию гидроэнергетики и её оборонные связи с Тайванем. Acronis оценивает атрибуцию как высокодостоверную. Первоначальное проникновение, по всей видимости, осуществлялось через целевой фишинг: жертвы получали ZIP-архивы со скрытой вредоносной DLL. В первой кампании приманкой служило предложение о сотрудничестве в сфере гидроэнергетики, во второй — проект меморандума о взаимопонимании между индийскими и тайваньскими учреждениями.
Acronis задокументировал три новых инструмента, задействованных в этих атаках. Первый — загрузчик SHARDLOADER, который использует технику подмены DLL через легитимно подписанные бинарные файлы. В первой кампании для этого применялся исполняемый файл Solid PDF Creator, во второй — бинарный файл Citrix Receiver. SHARDLOADER разворачивает один из двух имплантов в зависимости от конфигурации.
Второй инструмент — бэкдор MINIRECON, переработанный вариант ранее задокументированного бэкдора Toneshell. IBM X-Force первыми описали Toneshell и связали его с Mustang Panda. MINIRECON взаимодействует с командными серверами через WebSocket-соединение поверх HTTPS, что существенно затрудняет его обнаружение на уровне сетевого трафика.
Третий и наиболее интересный с точки зрения техники инструмент — ZOHOMURK. Этот имплант содержит жёстко прописанные учётные данные Zoho OAuth и использует подконтрольный атакующим аккаунт Zoho WorkDrive в качестве мёртвого ящика. Команды читаются из папки inbox, а похищенные данные записываются в папку outbox. Трафик при этом выглядит как обычная облачная активность и сливается с легитимными обращениями к сервису.
Выбор Zoho WorkDrive не случаен — платформа широко распространена именно в государственном секторе Индии. Трафик к ней не вызывает подозрений у сетевых фильтров, поскольку неотличим от обычной работы сотрудников с облачным хранилищем. Активное взаимодействие с C2-инфраструктурой фиксировалось с 12 по 22 июня 2026 года. Командный домен атакующих — couldinstallup[.]com, а для закрепления в системе использовались ключи реестра Run и запланированная задача с именем SolidPDFPcl2Bmp.
Атрибуция подкреплена несколькими независимыми слоями доказательств. Цепочка подмены DLL через Solid PDF Creator уже встречалась в предыдущих операциях Mustang Panda. Есть пересечения кода с Toneshell. Командные серверы расположены в той же сетевой подсети, которую IBM X-Force ранее связали с этой группировкой. Наконец, во всех имплантах обнаружена одна и та же опечатка — «RunOnece» вместо «RunOnce» — кочующая из кампании в кампанию как невольная цифровая подпись.
Что касается ошибок операционной безопасности самих атакующих: жёстко прописанные токены, идентификаторы в открытом тексте и повторно используемая инфраструктура оказались именно теми уликами, которые позволили аналитикам Acronis установить связь между кампаниями и выйти на Mustang Panda. Группировка давно работает методично и терпеливо, но сэкономила на зачистке следов.
Апрельская активность 2026 года показала схожий почерк: тогда Acronis связал с Mustang Panda бэкдор LOTUSLITE, применявшийся в атаках на индийский банковский сектор и южнокорейские аналитические круги, причём тоже с использованием легитимного облачного сервиса в качестве канала управления. Ещё раньше, в 2021 году, кампания RedEcho с применением малвари ShadowPad атаковала электросети Индии — тоже с китайской атрибуцией. Гидроэнергетика и оборонная кооперация Индии с Тайванем давно входят в сферу интересов Пекина.
Защита от подобных атак не сводится к патчингу — никакой уязвимости в программном обеспечении здесь нет. Акцент должен быть сделан на перехвате на этапе доставки (фишинговые письма с ZIP-вложениями), выявлении аномального обращения к облачным API, мониторинге подозрительной загрузки DLL через подписанные бинарные файлы и детектировании агентов Zoho в процессах, которым незачем обращаться к этому сервису. Любой процесс на конечной точке, вызывающий облачные API без очевидной причины, заслуживает отдельного внимания. Приоритет защиты — государственные и энергетические организации, особенно те, что участвуют в трансграничных проектах, представляющих интерес для Пекина.