Группа Mustang Panda, относящаяся к китайско-ориентированным APT-акторам (Advanced Persistent Threat - продвинутая постоянная угроза), в июне 2025 года провела целенаправленную кампанию против тибетского сообщества, используя усовершенствованные методы скрытной доставки вредоносного ПО. Исследование IBM X-Force выявило новую цепочку выполнения, где в качестве начального загрузчика используется ClaimLoader, доставляемый через фишинговые письма с ZIP-архивом.
Описание
Основной вектор атаки - фишинговое письмо, содержащее ZIP-архив с исполняемым файлом-приманкой под названием "Voice for the Voiceless Photos.exe", что является прямой отсылкой к книге Далай-ламы. Особенностью атаки стало использование скрытой DLL-библиотеки libjyy.dll, которая не отображается в проводнике Windows благодаря комбинации атрибутов "hidden" (скрытый) и "system" (системный). Для просмотра файла требуется отключение опции "Hide protected operating system files" в настройках проводника, что предотвращает раннее обнаружение вредоносного компонента.
Анализ исполняемого файла-приманки выявил несколько интересных деталей. В метаданных указана несуществующая компания "Hefei Nora Network Technology Co., Ltd.", которая ранее фигурировала в кампаниях других китайских APT-групп. Продукт обозначен как "FFWallpaper Widgets Jyy", а путь PDB (Program Database) указывает на "G:\CLIENT\fhbemb\src\bin\Release\fhjyy.pdb". Функциональность приманки сводится к динамической загрузке скрытой DLL через вызов LoadLibraryW с последующим выполнением функции ProcessMain.
Библиотека libjyy.dll, представляющая собой основной загрузчик ClaimLoader, содержит поддельные метаданные, указывающие на компанию Wargaming.net - реального разработчика игр из Китая. Анализ с помощью инструмента Malcat показал наличие множества вредоносных сигнатур и функций. Интеграция с системой CAPA позволила выявить различные возможности образца, включая механизмы persistence (устойчивости) и запуска кода.
Основная функция ClaimLoader включает несколько этапов. Алгоритм дешифрования строк использует операцию XOR с однобайтовым ключом 0x19 для динамической загрузки необходимых API. Проверка аргументов командной строки играет ключевую роль: при отсутствии аргумента "Licensing" активируются механизмы persistence, включая копирование файлов в каталог C:\ProgramData\AdobeLicensingPlugin и создание записи в реестре по технике T1547.001 (Registry Run Keys).
Дополнительно создается scheduled task (запланированная задача) через schtasks.exe с технике T1053.005, которая обеспечивает выполнение вредоносного кода каждые две минуты. Команда для создания задачи шифруется с помощью модифицированного алгоритма XOR с использованием 4-байтового ключа [0x01, 0x02, 0x03, 0x04].
При правильном аргументе "Licensing" ClaimLoader переходит к выполнению основной вредоносной функциональности. Происходит выделение исполняемой памяти через VirtualAlloc, копирование и выполнение shellcode (шелл-кода) через злоупотребление callback-механизмом API функции EnumFontsW. Извлеченный shellcode идентифицирован как Publoader, который использует технику API Hashing через алгоритм ROR13 для динамического разрешения адресов функций.
Publoader реализует технику PEB Walking для поиска нужных модулей в памяти, вычисляя хэши имен DLL и сравнивая их с заранее заданными значениями. После загрузки необходимых библиотек shellcode выполняет функции по сбору информации с устройства и установлению связи с командным сервером.
Данная кампания демонстрирует общность тактик, техник и процедур (TTP) среди китайских APT-групп, что позволяет исследователям выявлять операционные и тактические сходства между различными кампаниями. Использование сложных методов обфускации, множественных механизмов persistence и цепочек выполнения делает Mustang Panda серьезной угрозой для целевых атак, особенно против политически мотивированных целей.
Анализ подобных кампаний подчеркивает важность многослойной защиты, включающей как технические средства контроля, так и обучение пользователей распознаванию фишинговых атак. Для противодействия таким угрозам необходимы продвинутые системы мониторинга, способные обнаруживать аномальную активность и техники Living off the Land, когда злоумышленники используют легитимные инструменты операционной системы для выполнения вредоносных действий.
Yara Rules
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | rule win_publoader_shellcode_102025 { meta: author = "0x0d4y" description = "Detects the ROR13 and a custom decode algorithm, of Publoader." date = "2025-10-06" score = 100 reference = "https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/" yarahub_reference_md5 = "c5174c996d047bc03ab02c726ccbd2ab" yarahub_uuid = "74ad2656-8c60-42b1-9a21-2e6c00a96af0" yarahub_license = "CC BY 4.0" yarahub_rule_matching_tlp = "TLP:WHITE" yarahub_rule_sharing_tlp = "TLP:WHITE" malware_family = "win.publoader" strings: $ror13 = { 8B 45 08 0F B7 08 85 C9 74 ?? 8B 55 08 0F B7 02 89 45 ?? 8B 4D 08 83 C1 ?? 89 4D 08 8B 55 ?? C1 EA ?? 89 55 ?? 8B 45 ?? C1 E0 ?? 89 45 ?? 8B 4D ?? 0B 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 } $custom_decoding_algorithm = { 8B 45 ?? 03 45 ?? 0F BE 08 8B 45 ?? 83 C0 ?? 33 D2 BE ?? ?? ?? ?? F7 F6 0F BE 54 15 ?? 33 CA 8B 45 ?? 03 45 ?? 88 08 } condition: $ror13 and $custom_decoding_algorithm } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | rule win_claimloader_loader_102025 { meta: author = "0x0d4y" description = "Detects intrinsic strings of ClaimLoader loader." date = "2025-10-06" score = 100 reference = "https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/" yarahub_reference_md5 = "be4ed0d3aa0b2573927a046620106b13" yarahub_uuid = "85aa83c1-6cbf-47f1-9be3-2163aca4d08d" yarahub_license = "CC BY 4.0" yarahub_rule_matching_tlp = "TLP:WHITE" yarahub_rule_sharing_tlp = "TLP:WHITE" malware_family = "win.claimloader" strings: $s1 = "G:\\CLIENT\\fhbemb\\src\\bin\\Release\\fhjyy.pdb" ascii wide nocase $s2 = "ProcessMain" ascii wide $s3 = "\\..\\..\\embcore\\" ascii wide $s4 = "3.3325.1758.0" ascii wide $s5 = "libjyy.dll" ascii wide nocase $s6 = "fhbjyy.exe" ascii wide nocase condition: uint16(0) == 0x5A4D and 3 of ($s*) } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | rule win_claimloader_102025 { meta: author = "0x0d4y" description = "Detects intrinsic strings and the string decryption routine used by ClaimLoader." date = "2025-10-06" score = 100 reference = "https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/" yarahub_reference_md5 = "308f9f8dbc4e48a2648bfcb27f205a4a" yarahub_uuid = "5011dc0b-0642-4ea3-87d5-0c4a26d47bed" yarahub_license = "CC BY 4.0" yarahub_rule_matching_tlp = "TLP:WHITE" yarahub_rule_sharing_tlp = "TLP:WHITE" malware_family = "win.claimloader" strings: $s1 = "C:\\ProgramData\\AdobeLicensingPlugin" ascii wide fullword $s2 = "C:\\ProgramData\\AdobeLicensingPlugin\\WF_Adobe_licensing_helper.exe" ascii wide fullword $s3 = "Licensing" ascii wide fullword $s4 = "LdrLoadDll" ascii wide fullword $s5 = "LdrGetProcedureAddress" ascii wide fullword $decrypt_str_api = { 0F 28 0D ?? ?? ?? ?? 33 C0 85 D2 74 42 83 FA 20 72 30 56 8B F2 83 E6 E0 0F 1F 84 00 00 00 00 00 0F 10 04 01 66 0F EF C1 0F 11 04 01 0F 10 44 01 10 66 0F EF C1 0F 11 44 01 10 83 C0 20 3B C6 72 DF 5E 3B C2 73 09 80 34 08 ?? 40 3B C2 72 F7 C3 } condition: uint16(0) == 0x5A4D and ( 3 of ($s*) and $decrypt_str_api ) } |
