Бэкдор с гео-таргетингом. USB-червь SnakeDisk доказал, что изоляция больше не спасает

Исследователи IBM X-Force раскрыли новые операции китайской группировки Hive0154, более известной как Mustang Panda. Эксперты зафиксировали одновременное использование усовершенствованного варианта бэкдора Toneshell и свежего USB-червя SnakeDisk, который специально нацелен на устройства в Таиланде. Такой подход демонстрирует целенаправленную работу по проникновению даже в изолированные сети государственных структур региона.

Новая версия вредоносной программы, получившая название Toneshell9, стала заметным шагом вперёд по сравнению с предыдущими модификациями. Она получила встроенные механизмы работы через корпоративные прокси-сервера, что позволяет вредоносному трафику маскироваться под легитимные сетевые соединения.

В арсенале Toneshell9 — двойной реверс-шелл для параллельного выполнения команд, уникальные алгоритмы шифрования на базе модифицированных генераторов случайных чисел и приёмы сокрытия за счёт вставки мусорного кода со строками, сгенерированными нейросетями.

Для сохранения присутствия на заражённой машине используется DLL Sideloading, а связь с управляющими узлами замаскирована под пакеты TLS 1.2 Application Data. Конструкция клиента позволяет одновременно обслуживать несколько серверов, прокси и наборов ключей. Особое внимание привлекает умение считывать настройки прокси из системного реестра Windows, что свидетельствует о глубоком понимании сетевых архитектур.

Параллельно специалисты IBM выявили абсолютно новый USB-червь SnakeDisk. Его активация происходит только при обнаружении IP-адресов в Таиланде, что указывает на стратегический прицел кампании. Задачи SnakeDisk включают самораспространение через съёмные носители, сокрытие легитимных файлов на флешках и установку бэкдора Yokai, ранее применявшегося в атаках на тайских чиновников в конце 2024 года.

Такой метод позволяет атакующим обходить воздушные зазоры и проникать в критически важные системы, физически отделённые от интернета. Время запуска кампании совпадает с обострением пограничных конфликтов Таиланда и Камбоджи в 2025 году, что усиливает политический контекст атаки.

По наблюдениям аналитиков, Hive0154 активно использует социальную инженерию: для доставки заражённых архивов применялись поддельные документы от имени МИД Мьянмы, распространявшиеся через облачные сервисы Box и Google Drive. Загруженные из Сингапура и Таиланда вредоносные файлы подтверждают целевую направленность атак именно на страны Юго-Восточной Азии. В распоряжении группы — собственные загрузчики, бэкдоры и семейства USB-червей, что подчёркивает высокий уровень разработки.

IBM X-Force отмечает, что действия Hive0154 вписываются в стратегические интересы Китая, где Камбоджа выступает ключевым союзником, а давление на Таиланд становится инструментом региональной политики. Географическая избирательность SnakeDisk показывает, что речь идёт не о массовом заражении, а о прицельной разведке и сборе информации в условиях нарастающей нестабильности.

Специалисты советуют организациям в зоне риска усиливать защиту: отслеживать активность съёмных носителей, анализировать TLS-трафик без корректных рукопожатий и тщательно проверять загруженные из облачных сервисов документы, даже если они выглядят как официальные. Mustang Panda продолжает развиваться, и его новейшие инструменты демонстрируют, что угроза для государств региона остаётся серьёзной и нарастающей.