Avast发现了一个分发点，这里托管著一套恶意软体工具组，同时也作为每天被外泄的数十GB数据的临时储存，包括文件、录音和网邮转储，还包括来自亚洲、美洲和欧洲公民以及申请缅甸签证的外交官护照扫描，这些数据来自缅甸人权活动者和缅甸政府机构。

我们最近发现了一个特殊样本一个我们认为是由Mustang Panda使用的启动器。这个启动器引导我们来到该组的分发点，在那里我们发现了恶意工具组。我们对恶意软体进行了分析，并且能够看到与其他网路安全公司描述的各种攻击行动之间的关联。基于公开发布的研究和我们自己的调查，我们可以有很高的信心地说，这些作业方式和恶意工具组显示与Mustang Panda相关的组织有强烈的联系，而该组织之前被报告为一支中国APT持续性威胁集团。该组因为对蒙古和其他亚洲国家进行情报搜集而闻名，最近更是被怀疑针对欧洲实体。

这个分发点是一个FTP伺服器，亦被用作被外泄受害者数据的过渡点，直到数据被转移到未知位置。我们持续观察到新的数据被上传并从该点移动，这意味著该攻击行动仍在进行中，并已持续一段时间。数十GB的数据在此处移动，而数据量显示对缅甸许多高知名度目标的严重泄漏。数据类型包括各种办公文件和PDF、被盗的浏览器配置、网邮转储，甚至还包括录音。也提取了浏览配置，这可能为攻击者提供访问其他基础设施、服务和受害者的私人数据的途径。大多数被盗数据似乎是缅甸语，使得分析变得具有挑战性。这些敏感数据主要来自缅甸政府、国家行政机关、警察、军队、重要公共组织或公司所使用的设备，并包括与外交会议、法庭听证、军事信息、合同等相关的数据。

免责声明：我们仅看到外泄数据的部分快照，因为它们在从分发点转移后不久便被删除，因此应该指出我们对受害者的信息可能不准确或不完整。大多数文件是缅甸语，因此还需考虑语言障碍。最后，由于范围有限以及数据的庞大，一些假设必须在研究过程中得出。我们已经联系了当地的CERT，告知他们我们的发现。

受害者分析

几乎所有受害者都与缅甸有密切关联，似乎缅甸政府和反对势力都成为攻击目标。我们看到来自多个缅甸部门的数据，甚至连国家行政委员会办公室也受到攻击。政府的违规行为并不仅限于缅甸我们还看到了包括塞尔维亚在内的缅甸使馆在攻击目标之中。数据亦包含了用于与来自世界各地的签证申请者的通信的邮箱转储，这些信息包含来自中国、澳大利亚、捷克共和国、法国、以色列、荷兰、英国和美国等国公民的护照扫描。

这样一个详尽的袭击目标列表显示缅甸警察部队也在目标名单中。甚至一些高层部门，如信息警察局或特别调查部门，看似也遭到攻击。缅军缅甸武装部队也不例外我们看到受害者来自空防局、缅军工程部队和联合华邦军。

政治非政府组织和政府的反对派也在受害者名单上。考虑到我们可能无法找到与上述组织的直接关联，因为我们预计会有更多普通个人电脑或没有IT部门集中管理的电脑的使用，我们认为该名单可能更为广泛。我们看到了来自卡伦国家联盟、多样性和国家和谐中心、国家和解与和平中心、少数民族事务中心，甚至联合公务员委员会的设备数据。

被外泄数据

该组织被外泄的最常见文件类型为Microsoft Office文档docx、xlsx、pptx等、PDF文档和纯文本文件。其他被外泄的文件类型包括各种形式的视听数据，包括录音mp3和图片jpg、png等或绘图。电子邮件，包括整个对话纪录，也被外泄。

攻击者似乎也在寻找和收集来自各种网络浏览器的浏览器配置，例如Chrome、Firefox、Opera等，这对受害者的隐私构成了严重威胁。被盗的浏览器配置可以提供对其他基础设施、服务及受害者的私人数据的访问。攻击者正在提取浏览历史、存储的凭证个人和工作、信用卡、使用过的令牌和有效的cookie会话。因此，未安全保护的服务例如没有双因素验证或不安全cookie政策的服务可能会被攻击者轻易利用。攻击者可以盗取受害者的身份，进而使用他们的电子邮件、Facebook、Telegram或其他帐户来收集有关受害者及其家人、朋友和活动的额外信息。

高敏感数据正在从受害者的电脑中被收集，在大多数情况下，这些电脑是被缅甸政府、国家行政机关、警察、军队、重要公共组织或公司所使用的。而这在某些情况下还包括与其他国际公民和外交官有过互动的敏感数据和信息。

该组织被外泄的文件和视听数据的数量巨大。这些文件包括：

与已知攻击行动的联系

自从掌握了分发点以来，我们已经建立了与已公开报告的已知攻击行动之间的联系，这为我们提供了该组织的资源丰富度的线索，并帮助我们评估其 作业方式。

我们发现的文件与ESET上的雪白卓之称的Korplug变种强烈相似甚至匹配。他们描述的攻击行动目标是蒙古、越南和缅甸等多个政府机构，以及政治导向的非政府组织。这与我们在分发点上看到的被盗数据的受害者相符。Hodur被归因于Mustang Panda组织。我们分析的未披露工具文件也包含了一个用Delphi编写的USB启动器，与ESET分析的Hodur变种Korplug所附带的相似。这个安装程序负责启动恶意链条，进而导致Korplug RAT的变种。

同样，我们也发现与LuminousMoth所归因的运作方式在结构和目的上很相似。例如，我们看到了与Bitdefender的研究中描述的结构非常相似。也就是说，使用相同的二进制文件作为侧载，同样的外泄模式使用RAR进行收集，并通过Google Drive进行侧载库外泄。或许最常见的模式是使用用Delphi编写的USB启动器，这被认为是Mustang Panda使用的，这一点也被Bitdefender的研究所描述。

在某些情况下，我们看到了一些不可靠的旧攻击行动的连结，比如夜巡行动、相当旧的KMPlayer供应链攻击或收割行动。也就是说，用于侧载的二进制文件或加密有效负载的名称与这些旧攻击行动中的使用相匹配。尽管如此，具体有效负载的差异相当明显，因此虽然部分与Mustang Panda相关，但相似性也可能是偶然的。

工具组概述

我们发现的存储包含多个各种工具的压缩档案，供受感染的受害者下载。我们将使用这些压缩档案的名称为我们发现的数据施加基本结构。值得注意的是，这些名称在随后的版本中部分一致。例如，我们发现一个名为 KKL 的压缩档，其后伴随著配置有些不同的另一个版本，称为 KKL1。

一些压缩档包含完整的工具组，而另一些只包含用于搭配其他工具使用的单一工具；例如，某一个压缩档中包含的键盘记录工具显然缺乏任何外泄功能。这强烈表明这些工具是计划模组化使用的。我们将建立在此基础上，首先谈及Mustang Panda主题Korplug。接著我们将谈论更具体的工具，最后是单一目的的工具。值得一提的是，几乎所有工具，除了Korplug、其启动器和Delphi安装程序，之前都未被描述过。在Go语言编写的RATJSX或模组化后门US2则因其复杂性而特别值得一提。

根据我们的观察，我们推测主要的外泄工具是名为 GDU 的工具中的变体，这些工具使用Google Drive进行外泄。由于我们未见任何直接在分发点上使用的外泄工具，而伺服器中的外泄文件路径也包含 gd ，我们推测该负责团体使用其他工具将文件从多个Google Drive转移至我们所见的分发点。

对工具集的一个简要调查也引出了另一个有趣的事实：几乎所有文件在编译时间戳与文件本身的“最后修改”时间戳之间显示出约七或八小时的偏差只有几个情况例外。因为编译时间戳通常是UTC，而压缩档则使用当地时间作为内容的最后修改日期，这让我们推测建置设置在类似美国西海岸PST和夏令时间(PDT)的时间运行。当然，这里也有一些例外SE3 和 SE4 包含编译于2021年11月1日的文件，而这仍然显示八小时的偏差，尽管在此之前都没有转向PST的国家美国和加拿大在几天后才转向PST。

有一个文件的编译时间戳显然被伪造。HT3包含了一个名为 Venderdll 的DLL，其中的编译时间戳日期在最后修改日期之后超过一个月。这进一步削弱了基于时间戳偏差的假设。不幸的是，我们没有进一步证据来解释这一异常。已探测到的最新版本上传工具multiUploadexe于2020年1月3日的编译时间戳，也很有可能被伪造，因为对该工具早期版本的分析显示其有明确演进，且根据其各自的时间戳，它们全都于2021年4月编译。更不用说，相应基础设施是在2022年5月底才建立的。

含有工具组的资料夹 /pub/god 于2022年6月25日被删除。同一天，创建了新资料夹 /pub/god1，里面有两个我们无法读取的文件。两天后，这个新资料夹消失，然后 /pub/god 再次出现，里面有原始工具集的子集。

Korplug的版本变体

我们首先介绍的工具组是各种版本的Korplug。用于侧载的二进制档案之前已经出现过。虽然启动器大多是新产物，但它们也不太有趣。一个常见的主题是作为启动器的Delphi二进制档，这将从受感染的USB驱动器中执行。如前所述，类似的安装程序在先前的Mustang Panda攻击行动中曾经见过。该安装程序执行的是来自同一USB驱动器中名为 Kaspersky 的资料夹中的Korplug启动器。以下的图示基于名为 BMD 的压缩档的工具集提供了更多的细节。

请注意资料夹名称 “Kaspersky” 和可执行文件名称中的 “Symantec” 的使用，因为这个启动程序依赖社交工程策略，它使用看似合法的文件名来消除对内容的怀疑。

名为BMD的压缩档案内容。压缩档 YK41 跟随著相同的结构，但 ShellselDbdat 被替换为 hpuixslbcdsj，且没有Delphi启动器。

还有一些更简单的感染链，包括一个签名的干净二进制档案、一个需要侧载的装载器和一个加密的Korplug。这些被收录在压缩档 WD、127C 和 1260M 中。后者有趣的是使用了 OleViewexe 二进制文件，然后将侧载 ACLUIdll 随后解密并执行 ACLUIDLLUI。同样的签名二进制文件出现在2013年的KMPlayer供应链攻击中，当时的相关研究只用中文发布，这可能是由于此次攻击仅限于少数设备。

外泄工具组

在 /pub/gd 资料夹中的外泄数据显示与 GDU 工具集GDUOLD 、 GDU 、 GDU1 、 GDU2 、 GDU1NEW 、 GDU3、GDUPIZ产生的数据完美对应。这些工具收集受害者磁碟上的文件，将它们打包成一个以受害者ID为前缀的压缩档，并将该压缩档上传到Google Drive。我们推测 GDU是 Google Drive Uploader 的缩写。虽然这些工具本身的技术性相对简单，但外泄过程及其演进引起了我们的兴趣。

对外泄过程的分析引出了几个有趣的观察。自2022年5月24日开始系统监控用于外泄的Google Drive后，我们开始看到更频繁的令牌变更和新的功能实现。这些功能减轻了因转换到新令牌而可能造成的停机。因为Google Drive拥有广泛的日志功能，而这些令牌必须存在于受感染的设备上，因此合理推测这些驱动器的访问在某种程度上是受到监控的。

相反，我们没有见到这样的行为出现在分发点上。这可能是因为外泄工具并未曝光分发点，这让我们评估该团体认为分发点应该保持秘密或不值得监控。

GDU外泄工具集的时间线

最早的版本 GDU 使用RAR可执行程序来收集数据，以及加密的 rardat 来存储RAR二进制文件的参数。自 GDUOLD 开始，他们转移到了自己的收集器 pizexe这一功能后来移至DLL以侧载并保留了加密的 rardat 来存放其配置。这些工具集还依赖两个可选的配置文件，以硬编码的值作为备份：tokendat 包含一个加密的Google Drive令牌，timeini 则包含最后执行日期以及受害者的ID。这种设置和二进制选择在侧载上与LuminousMoth攻击行动和工具相似。

一个名为GDU的压缩档中包含一个版本，依赖RAR而非pizexe进行数据收集。

外泄过程通常由 MyUploaddll 的变种处理，并补充以前提到的配置文件。最近出现了一个在分发点上的新版本GDU1我们称之为 GDU1NEW，其带来了其后继者 multiUploadexe。 multiUploadexe 拒绝使用硬编码的令牌，并使外泄过程对干扰更具韧性。

GDUOLD压缩档使用其自己的收集器pizexe来收集可能有用的文件，然后再进行外泄。

我们所称的 GDUOLD 基本上与 GDU1 和 GDUPIZ 相同，最显著的差别是侧载使用的PE不同。 GDU1 和 GDUPIZ 依赖于 CefSubexe 和随后的 CefBrowserdll，而不是 AtlTracetoolexe。 GDUPIZ 也使用稍微不同的方法来执行文件收集工具 pizexe 这个资料夹中包含的版本实际上是一个重命名的干净二进制档案spoololkexe，这样侧载 vntfxf32dll。这个恶意二进制执行了原本由 pizexe 保存的文件收集功能。 GDU2 基本上与 GDUPIZ 相同。

2022年6月8日，我们在分发点看到了一个新的GDU1工具集。这时 MyUploaddll 升级以提供外泄过程的冗余，这不再使用 tokendat，而是把Github仓库作为令牌的来源。如果这失败，则有两个备份一个使用HTTP PUT传送至 wwwwatercaltropinfo[]com ，并带有基本HTTP授权123123。另一个则通过HTTPS POST发送数据至 mwatercaltropinfo[]com。收集器与 GDUPIZ 相同。 GDU3 基本上使用相同的过程，但用不同的PE进行侧载FwcMgmtexe。

Google帐户令牌在这些工具中使用的特殊章节我们也加以研究，部分原因是我们的研究可能迫使该团体在发现我们知道他们的Google Drive后刷新令牌。事实上，在每次令牌停用后，每个客户端都必须更新令牌，而 GDU 工具组没有任何远程更新的功能，这表明这些工具集必须伴随著其它工具提供这一更新功能。 我们注意到从2022年5月29日开始，令牌停用与新令牌分发之间的延迟更长。其分发正好与新版本的 GDU1NEW 的发布时间相吻合。正是该版本引入了新功能，即更加流畅的令牌切换和当Google Drive外泄失败时的故障保护。因此，我们推测这一延迟是由该新功能的开发造成的。

来源 刷新令牌 元数据GDU /GDUOLD 1//030YFi1XWWVY2CgYIARAAGAMSNwFL9IrI6Aqhg4gn3UWyi3I5J6q4VxHPYNkit3x9RtlpVkFCEOD4KUE2u7NghS0hx5nPU8Y 首次见于：2021年4月22日 不可访问分发点 1//0clbhCVKereiCgYIARAAGAwSNwFL9IrtPxC9ztonaeeq2gTUwZTVa8f8ILvDYM8dyVVjmmKmNr5Pnsi27iMjLll2dxbDRxUQs 首次见于：2021年4月22日 不可访问GDU1 /GDU2 /GDUPIZ 1//0cZLNy7GH0LknCgYIARAAGAwSNwFL9IrV7aXKTZbWQM1aqXkjX0ph25dTZngOYAUlAXHB1NvCorgw62XITXsWNrK98KBYfbpA 首次见于：2022年3月17日 我们首次访问：2022年5月24日 可用到：2022年5月26日分发点 1//0e29aixufumhCCgYIARAAGA4SNwFL9IrX2w0GnjBQe4g5hQWKJlXjIQF7XZBnQ9VKArYhJVwOayZq9AdG8YHbsptTN5DhfXI2E 首次见于：2022年5月29日 我们首次访问：2022年5月29日 可用到：2022年6月3日Github 1//0ewRnXWCf2AunCgYIARAAGA4SNwFL9IradANDPAvIqPOaIfReqT1fQ0GO5A9FnUhdpdI0Q0V1IRye5RbTihcGQbbHKgDc02xfM 首次见于：2022年6月8日 我们首次访问：2022年6月8日 仍然可用

我们也可以查看被外泄档案的元数据。相当不出所料的是，上传时间与缅甸的商务时间极为吻合早晨有小高峰，下午则是一个巨大的高峰。请注意，缅甸位于UTC630时区，而被怀疑Mustang Panda的发源地中国位于UTC8。

更有趣的是该团体自身产生的事件从Google Drive到分发点的转移和档案从分发点的删除。巨大的高峰出现在缅甸时间1800左右，这正好是缅甸工作日结束的时间。上传窗口的开始时间差异微乎其微，这导致我们推测该转移是自动化的。我们还发现几个压缩档放置在错误的目录，这可能表明该工具仍在开发中，或者仍然涉及某种手动操作通常来说，文件在白天会累积在Google Drive上，然后在缅甸时间的晚上转移到分发点。

正如我们在揭示工具引言中提到的，我们发现了许多文件缺少某些内容。我们的意思是，仅凭它们本身，要么是缺乏通信功能，要么是实施的一些技术在没有其他有效负载的情况下无用。有趣的是，虽然这些也在使用侧载，但它们并不依赖外部加密文件，使得它们的执行流程相对简单，只有两点图。为了简洁起见，我们将在以下表中列出这些样本：

压缩档 干净可执行档 侧载DLL 目的高级MG/MG44 dabsex/44ex SensorAwaredll 指纹识别/远程shellAUD mcsyncex mcaltlibdll 录音CHR browserex browserelfdll Cookie转储T3YK ygfdtexe corecrldll 远程shellUC melt64exe libmlt6dll UAC绕过KKL/KKL1 mscorsvwexe mscorsvcdll包含KBEdll 剪贴板窃取、键盘记录

存档KKL中包含了KBEdll，实际上是简单的窃取者，该文件也以加密形式硬编码在mscorsvcdll里，并在侧载后弹出。KKL1较新，实际上几乎相同。

还有一些独立的文件，例如在压缩档 X 中的 xex ，它记录了注册项Run、服务和计划任务的日志，并检查 WINDIR 目录下的所有可执行文件签名。压缩档 NB 包含了 nbdat ，这只是 nbstat 实用工具的可执行文件。压缩档 INFO 中则还包含了加密的配置文件的Coinminer。

一个有趣的工具是DISK2及其变体DISKM；该工具负责监控系统驱动器的任何变化。这两者都伴随著一个配置文件，定义了哪些文件是关心的以及这些文件应该复制到哪里。它还通过HTTP通知其CampC伺服器这些文件的相关信息，并以加密消息的形式报告。此外，还有一个名为MF20211228的工具版本，该版本不包含任何配置文件，并不将文件复制到任何地方，只是向CampC伺服器发送消息。

DISK2的压缩档中包含的内容。该工具集负责监控系统驱动器中由其配置文件定义的任何文件变化。

收集中的奇特项目

JSX压缩档JSX86及更新的 JSX861 针对32位版本和 JSX64 及更新的 JSX641 针对64位版本值得特别提及，因为它们使用了一种相当不常见的设置；一个JavaScript文件位于链条的开头，并且相应的DLL是作为服务启动的。 mozloaddll 是一个用Go语言编写的RAT，通过HTTPS和websocket进行通信。有趣的是，该RAT使用了TLS客户端身份验证；有关私钥和凭证的详情见附录A1和A2。

来自JSX压缩档包的执行流程。

HT3 似乎不属于任何先前的类别它是一个带有外部配置的后门，附带一个shellcode加载器和UAC绕过。

HT3的执行流程。请注意它同时包含32位和64位版本的UAC绕过工具。

现在我们最终来到了一个更复杂的设置。这些压缩档包括几个版本，结构非常相似，有时负载有所不同。功能变更在下面说明；请注意这里不包括将侧载的改变，这后续将进一步讨论。所有版本都具有一些使用注册表技巧来隐藏文件和文件扩展名的逃避技巧。

版本 变更SE1 使用卷名称作为USB安装程序可执行文件SE3/SE4/SSE 使用了被归因于Mustang Panda的Delphi启动器，持久性集成于LPVDPOCXOCX等同于SE1中的facesdkdllSE5 使用卷名称作为USB安装程序可执行文件，回滚至旧的USB安装程序SE6 无显著功能变更SE7 无显著功能变更

SE3 以及因此也包括 SE4 和 SSE它们基本上是相同的，使用了 vivaldiexe 和 vivaldielfdll 作为逃避模块。同时， FacialFeatureDemoexe 和 facesdkdll 被替换成 Symantecsexe 和 LDVPOCXOCX；后者将持久性集成到自身内，而不是保留在单独模块中。有趣的事实是，USB安装程序已被替换为类似于压缩档 BMK 中的启动器；这是一个Delphi启动器，它执行 Symanteccmd ，实际上是 Symantecsexe。这些版本也是唯一那些重命名了4个中的3个负载包的版本使用 csdksetdat 作为后门，EdrEpmpCStoragesdat 作为USB安装程序，PchEpmpCStoragesdat 和 WTSAPI32dll。令人困惑的是，WTSAPI32dll 似乎在任何地方都不使用，并且将在后来的版本中用于侧载，当USB安装程序被回滚。

SE6 和 SE7 利用旧版Avast的代理可执行档 wscproxyexe 来侧载 wscdll ，它作为调度器。除了这一变更外，功能没有其他显著变化。

SE1的内容示意图以及控制流程。在更新版本中，持久性模块已集成到调度器中。

我们将介绍的最后一个复杂工具集来自于压缩档 U52。大部分功能代码是加密的，打包在 AtiVircsc 中。除了一个监控可移动驱动器的链条外，所有部分共享相似的XOR密钥： userpandasectionname；如果该工具组确实属于Mustang Panda，这是一个相当有趣的选择。

该工具组中的一个有趣部分是文件 installexe ，它从给定的路径读取一个文件，获取该文件所属卷的序列号，计算出序列号的MD5哈希，并将该文件的前几个字节改为十六进制编码的计算出的哈希值。

U52 的内容示意图与控制流程。

伺服器基础设施

该分发点是一个位于马来西亚的FTP伺服器，可以不需要密码访问用户名 anonymous ，密码为空。我们还在2020年底遇到另一个FTP伺服器，里面包含与我们现在所知的外泄数据相似的压缩档。不幸的是，我们没有足够的信息来处理其内容。我们推测这两个FTP伺服器密切相关，甚至当前的FTP伺服器可能是之前我们发现的伺服器的接替者。

我们注意到该FTP伺服器于十月份停止响应。幸运的是，伺服器本身仍在运行，分发商开始使用HTTP而非FTP。我们还注意到，他们开始使用HTTP授权；尽管如此，他们还是重复使用了一个弱的用户名：密码组合123123。这导致我们的追踪出现了几天的停机，但在一次快速修复后，我们成功回到了正轨。推测这可能是另一个妨碍我们进行追踪的尝试。

我们的遥测数据还揭示出了另一个位于俄罗斯的伺服器。一名来自缅甸的客户试图通过HTTP从该伺服器下载压缩档 XYZ。在进一步的检查中，该压缩档发现与先前FTP伺服器中的XYZ完全相同。我们尝试爬取该伺服器以查找我们已在FTP伺服器中看到的压缩档和文件，并找到以下工具集：

在HTTP伺服器上的压缩档 在FTP上的匹配压缩档 备注gdupizrar GDU 透过我们的遥测获取xcrsexe X 透过爬取发现jsx861rar JSX861 透过爬取发现

受影响客户来自缅甸，且该伺服器中包含一些所描述工具集的组件，这强烈表明它是同一攻击行动的一部分。然而，由于至少有一个压缩档重命名过，我们无法完全列举其内容。同样，我们也无法确认该伺服器是否包含外泄数据。

CampC基础设施

JSX RAT试图使用TLS客户端身份验证与10316990[]132进行通信。凭证见附录A2是硬编码的，我们可以尝试使用它来确认相关基础设施。从伺服器凭证数据来看，它模仿著一家真正的托管公司。

通用名称： bluenet 城市，国家： 美国加州旧金山 指纹sha1： e0adf667e287b0051988dda2b85e7541d7532703 自签名

有趣的是，CampC的凭证恰好与客户端凭证具有相同的主题。搜索使用相同凭证的其他伺服器得到了几个其他伺服器的结果。此外，我们能够确认大多数这些伺服器正在运行相同的CampC软件，因为它们接受该RAT的硬编码客户端凭证。

位于11831166[]5的伺服器似乎是这些伺服器中的一个异类，其端口4433被曝露。由于它是使用相同凭证的最古老伺服器，且该伺服器在该端口展现出相同的通信特征，我们怀疑它可能是一个开发伺服器。

这些伺服器中，有两个对RDP连接开放，它们的凭证的通用名称为 o9c[]pg。我们试图利用这些凭证进行进一步探索，以挖掘更多CampC候选伺服器。以下是我们发现伺服器的时间线：

使用所发现凭证的伺服器时间线。蓝色的使用带有blue[]net CN的凭证，红色的则使用o9c[]pg作为CN，紫色的两者都有。高亮线条对