{ "id": "bcc9d032-5afc-41e7-aded-a5e15a088b5a", "created_at": "2026-04-06T00:06:52.232767Z", "updated_at": "2026-04-10T13:11:23.345431Z", "deleted_at": null, "sha1_hash": "55a3b0736af4982e50f9b47ecc345b0d3a09c455", "title": "Mustang Panda's Hodur : Vieux trucs, nouvelle variante de Korplug", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1362284, "plain_text": "Mustang Panda's Hodur : Vieux trucs, nouvelle variante de Korplug\r\nBy Alexandre Côté Cyr\r\nArchived: 2026-04-05 22:36:46 UTC\r\nLes chercheurs d'ESET ont découvert une campagne toujours en cours utilisant une variante Korplug non documentée\r\nauparavant, qu'ils ont nommée Hodur en raison de sa ressemblance avec le variant THOR précédemment documentée par\r\nl'Unité 42 en 2020. Dans la mythologie nordique, Hodur est le demi-frère aveugle de Thor, qui a été trompé par Loki pour\r\ntuer leur demi-frère Baldr.\r\nPrincipales conclusions de cet article de blog :\r\nEn mars 2022, cette campagne est toujours en cours et remonte au moins à août 2021.\r\nLes victimes connues comprennent des entités de recherche, des fournisseurs de services Internet et des missions\r\ndiplomatiques européennes.\r\nLa chaîne de compromission comprend des documents leurres qui sont fréquemment mis à jour et se rapportent à des\r\névénements en Europe.\r\nLa campagne utilise un chargeur personnalisé pour exécuter une nouvelle variante de Korplug.\r\nChaque étape du processus de déploiement utilise des techniques d'anti-analyse et d'obscurcissement du flux de\r\ncontrôle, ce qui la distingue des autres campagnes.\r\nLes chercheurs d'ESET fournissent une analyse approfondie des capacités et des commandes de cette nouvelle\r\nvariante.\r\nLes victimes de cette campagne sont probablement attirées par des documents servant de tentatives d’hameçonnage\r\ninstrumentalisant les récents événements survenus en Europe, tels que l'invasion de l'Ukraine par la Russie. Plus de trois\r\nmillions d'habitants ont ainsi fui la guerre vers les pays voisins, ce qui a entraîné une crise sans précédent aux frontières de\r\nl'Ukraine. L'un des noms de fichiers liés à cette campagne est Situation at the EU borders with Ukraine.exe.\r\nD'autres leurres de phishing mentionnent des restrictions de voyage COVID-19 mises à jour, une carte d'aide régionale\r\napprouvée pour la Grèce et un règlement du Parlement européen et du Conseil. Le dernier est un document réel disponible\r\nsur le site Web du Conseil européen. Cela montre que le groupe APT à l'origine de cette campagne suit l'actualité et est\r\ncapable d'y réagir rapidement et avec succès.\r\nFigure 1. Pays affectés par Mustang Panda dans cette campagne\r\nPays touchés :\r\nMongolie\r\nVietnam\r\nMyanmar\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 1 of 16\n\nGrèce\r\nRussie\r\nChypre\r\nSud-Soudan\r\nAfrique du Sud\r\nVerticaux affectés :\r\nMissions diplomatiques\r\nEntités de recherche\r\nFournisseurs de services Internet (ISP)\r\nAnalyse\r\nSur la base des similitudes de code et des nombreux points communs dans les tactiques, techniques et procédures (TTP), les\r\nchercheurs d'ESET attribuent avec un niveau de confiance élevé cette campagne à Mustang Panda (également connu sous le\r\nnom de TA416, RedDelta, ou PKPLUG). Il s'agit d'un groupe de cyberespionnage qui cible principalement les entités\r\ngouvernementales et les ONG. Ses victimes se situent principalement, mais pas exclusivement, en Asie de l'Est et du Sud-Est, tout particulièrement en Mongolie. Le groupe est également connu pour sa campagne visant le Vatican en 2020.\r\nBien que nous n'ayons pas été en mesure d'identifier les verticaux de toutes les victimes, cette campagne semble avoir les\r\nmêmes objectifs de ciblage que les autres campagnes de Mustang Panda. Conformément à la victimologie typique de l'APT,\r\nla plupart des victimes sont situées en Asie de l'Est et du Sud-Est, ainsi que dans des pays européens et africains. Selon les\r\ndonnées télémétriques d'ESET, la grande majorité des cibles sont situées en Mongolie et au Vietnam, puis au Myanmar, et\r\nseulement quelques-unes dans les autres pays touchés.\r\nLes campagnes de Mustang Panda utilisent fréquemment des chargeurs personnalisés pour les logiciels malveillants\r\npartagés, notamment Cobalt Strike, Poison Ivy et Korplug (également connu sous le nom de PlugX). Le groupe est\r\négalement connu pour créer ses propres variantes de Korplug. Par rapport aux autres campagnes utilisant Korplug, chaque\r\nétape du processus de déploiement utilise des techniques d'anti-analyse et d'obscurcissement du flux de contrôle.\r\nCet article de blog présente une analyse détaillée de la variante de Korplug utilisée dans cette campagne, qui n'avait jamais\r\nété vue auparavant. Cette activité fait partie de la même campagne récemment couverte par Proofpoint, mais nous\r\nfournissons des informations historiques et de ciblage supplémentaires.\r\nCoffre à outil\r\nMustang Panda est connu pour ses chargeurs personnalisés élaborés et ses variantes de Korplug, et les échantillons utilisés\r\ndans cette campagne en sont la parfaite illustration.\r\nLes chaînes de compromission observées dans cette campagne suivent le modèle Korplug typique : un exécutable légitime,\r\nvalablement signé et vulnérable au détournement de l'ordre de recherche des DLL, une DLL malveillante et un fichier\r\nKorplug chiffré sont déployés sur la machine cible. L'exécutable est détourné pour charger le module, qui déchiffre et\r\nexécute ensuite le RAT Korplug. Dans certains cas, un téléchargeur est d'abord utilisé pour déployer ces fichiers avec un\r\ndocument de leurre. Ce processus est illustré à la figure 2.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 2 of 16\n\nFigure 2. Aperçu du processus de déploiement de la variante Korplug de Hodur\r\nCette campagne se distingue par l'utilisation intensive de techniques d'obscurcissement du flux de contrôle et d'anti-analyse\r\nà chaque étape du processus de déploiement. Les sections suivantes décrivent le comportement de chaque étape et\r\nexaminent en profondeur les techniques d'évasion de défense utilisées dans chacune d'elles.\r\nAccès initial\r\nNous n'avons pas été en mesure d'observer le vecteur de déploiement initial, mais notre analyse indique que les attaques de\r\nphishing et de watering hole sont des vecteurs probables. Dans les cas où nous avons vu un téléchargeur, les noms de\r\nfichiers utilisés suggèrent un document dont le sujet est intéressant pour la cible. En voici des exemples :\r\nCOVID-19 travel restrictions EU reviews list of third countries.exe\r\nState_aid__Commission_approves_2022-2027_regional_aid_map_for_Greece.exe\r\nREGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL.exe\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 3 of 16\n\nSituation at the EU borders with Ukraine.exe\r\nAfin de renforcer l'illusion, ces binaires téléchargent et ouvrent un document portant le même nom mais avec une extension\r\n.doc ou .pdf. Le contenu de ces leurres reflète fidèlement le nom du fichier. Comme le montre la figure 3, au moins l'un\r\nd'entre eux est un document légitime du Parlement européen accessible au public.\r\nPremière page du document leurre pour le téléchargeur REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE\r\nCOUNCIL.exe . Il s'agit d'un document réel disponible sur le site Web du Conseil européen.\r\nTéléchargeur\r\nBien que sa complexité ait augmenté au cours de la campagne, le téléchargeur est assez simple. Cette augmentation de la\r\ncomplexité provient de techniques anti-analyse supplémentaires, que nous couvrons plus loin dans cette section.\r\nIl télécharge d'abord quatre fichiers via HTTPS : un document leurre, un exécutable légitime, un module malveillant et un\r\nfichier Korplug chiffré. La combinaison de ces trois derniers composants pour exécuter une charge utile par le biais d'un\r\nchargement latéral de DLL est parfois appelée trident et constitue une technique couramment utilisée par Mustang Panda et\r\npar les chargeurs Korplug en général. Les adresses des serveurs et les chemins des fichiers sont codés en dur dans\r\nl'exécutable du téléchargeur. Une fois que tout est téléchargé, et que le document leurre est ouvert pour distraire la victime,\r\nle téléchargeur utilise la ligne de commande suivante pour lancer l'exécutable légitime :\r\ncmd /c ping 8.8.8.8 -n 70\u0026\u0026\"%temp%\\\u003clegitimate executable\u003e\"\r\nCette commande ping vérifie la connectivité Internet et introduit un délai (grâce à l'option -n 70) avant d'exécuter\r\nl'exécutable légitime téléchargé.\r\nLe téléchargeur utilise de nombreuses techniques anti-analyse, dont beaucoup sont également utilisées dans le chargeur et la\r\ncharge utile finale. Des techniques d'obscurcissement supplémentaires ont été ajoutées aux nouvelles versions au cours de la\r\ncampagne sans pour autant modifier leur objectif.\r\nDans les premières versions du téléchargeur, du code poubelle et des prédicats opaques étaient utilisés pour entraver\r\nl'analyse, comme le montre la figure 4, mais le serveur et les noms de fichiers sont clairement visibles en clair.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 4 of 16\n\nFigure 4. Obfuscation du flux de contrôle dans les premières versions du téléchargeur\r\nDans les versions ultérieures, les fichiers sur le serveur sont chiffrés en RC4, en utilisant la représentation de la chaîne de\r\nbase 10 de la taille du fichier comme clé, puis codés en hexadécimal. Ce processus est illustré dans le snippet Python ci-dessous. Les opérations inverses sont effectuées côté client par le téléchargeur pour récupérer les fichiers en clair. Ceci est\r\nprobablement fait pour contourner les protections au niveau du réseau.\r\nfrom Crypto.cipher import ARC4\r\nkey = \"%d\" % len(plaintext)\r\nrc4 = ARC4.new(key)\r\ncipher_content = rc4.encrypt(plaintext).hex().upper()\r\nCes versions remplacent l'utilisation de chaînes de texte en clair par des chaînes de pile chiffrées. Elles sont toujours codées\r\nen dur dans le fichier, mais l'obscurcissement qui les entoure, et l'utilisation de différentes clés, rendent difficile leur\r\ndéchiffrement statique de manière automatisée. Cette même technique est fortement utilisée dans les étapes suivantes. Les\r\nchaînes de pile chiffrées sont également utilisées pour obscurcir les appels aux fonctions de l'API Windows.\r\nTout d'abord, le nom de la fonction cible est déchiffré et transmis à une fonction. Cette fonction obtient un pointeur vers le\r\nchamp InMemoryOrderModuleList du PEB (Process Environment Block). Elle itère ensuite sur les modules chargés, en\r\npassant chaque handle à GetProcAddress avec le nom de la fonction jusqu'à ce que la fonction cible soit résolue avec succès.\r\nUne partie de ce processus est illustrée à la figure 5.\r\nFigure 5. Obfuscation des appels de l'API Windows dans le téléchargeur. La capture d'écran montre un appel à WriteFile,\r\nmais le même modèle est utilisé pour toutes les fonctions API\r\nChargeur\r\nComme c'est souvent le cas avec Korplug, le chargeur est une DLL qui exploite une vulnérabilité de chargement latéral dans\r\nun exécutable légitime et signé. Nous avons observé que de nombreuses applications différentes sont exploitées dans le\r\ncadre de cette campagne, par exemple un exécutable SmadAV vulnérable vu précédemment par Qurium dans une campagne\r\nattribuée à Mustang Panda qui ciblait le Myanmar.\r\nLe chargeur exporte plusieurs fonctions. La liste exacte varie en fonction de l'application maltraitée, mais dans tous les cas,\r\nune seule d'entre elles a une action importante. Dans tous les chargeurs que nous avons observés, il s'agit de la fonction\r\nexportée dont l'adresse de chargement est la plus élevée. Toutes les autres exportations, ainsi que le point d'entrée de la\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 5 of 16\n\nbibliothèque, soit retournent immédiatement, soit exécutent un code inutile. Beaucoup de ces exportations ont des noms qui\r\nconsistent en des lettres minuscules aléatoires et pointent vers la même adresse, comme le montre le tableau 1.\r\nTableau 1. Fonctions exportées par un chargeur Hodur. L'exportation createSystemFontsUsingEDL est celle qui charge\r\nl'étape finale du logiciel malveillant dans cette version.\r\nName Ordinal Function RVA\r\nCreatePotPlayerExW 1 0x00007894\r\nRunPotPlayer 2 0x000166A5\r\ncreateSystemFontsUsingEDL 3 0x00016779\r\ngGegcerhwyvxtkrtyawvugo 4 0x00007894\r\nliucigvyworf 5 0x00007639\r\nojohjinbgdfqtcwxojeusoneslciyxtiyjuieaugadjpd 6 0x000077CA\r\nsoeevhiywsypipesxfhgxboleahfwvlqcqp 7 0x00007894\r\nsrkeqffanuhiuwahbmatdurggpffhbkcpukyxgxmosn 8 0x00007894\r\nthggvmrv 9 0x00007701\r\nLa fonction du chargeur obtient le répertoire dans lequel la DLL s'exécute à l'aide de GetModuleFileNameA et tente d'ouvrir\r\nle fichier Korplug chiffré qu'il contient. Ce nom de fichier est codé en dur dans le chargeur. Il lit le contenu du fichier dans\r\nun tampon alloué localement et le déchiffre. Le chargeur rend ce tampon exécutable en utilisant VirtualProtect avant de\r\nl'appeler à l'offset 0x00.\r\nLes appels aux fonctions de l'API Windows sont obscurcis par une technique différente de celle utilisée dans le téléchargeur.\r\nContrairement au chargeur, qui contient les noms de ses fonctions (comme indiqué dans le tableau 1 ci-dessus), seuls les\r\nhashes 64 bits des appels de fonctions de l'API Windows sont présents dans le binaire. Pour résoudre ces fonctions, le\r\nchargeur parcourt les listes d'exportation de toutes les bibliothèques chargées via la liste InMemoryOrderModuleList du\r\nPEB. Le nom de chaque exportation est haché, puis comparé à la valeur attendue. L'algorithme de hachage FNV-1a,\r\nrécemment remis au goût du jour par la backdoor Sunburst, a déjà été utilisé par Mustang Panda, dans les chargeurs Korplug\r\ndocumentés par XORHEX, pour résoudre GetProcAddress et LoadLibraryA, bien qu'il n'ait pas été identifié par son nom\r\ndans cette analyse. Dans cette version, cependant, il est utilisé pour toutes les fonctions de l'API.\r\nBackdoor Korplug\r\nKorplug (également connu sous le nom de PlugX) est un RAT utilisée par plusieurs groupes APT. Bien qu'il soit largement\r\nutilisé, ou peut-être à cause de cela, peu de rapports décrivent en détail ses commandes et les données qu'il exfiltre. Ses\r\nfonctionnalités ne sont pas constantes d'une variante à l'autre, mais il semble exister un chevauchement important dans la\r\nliste des commandes entre la version que nous avons analysée et d'autres sources telles que le rapport Avira de janvier 2020\r\net le projet plugxdecoder sur GitHub.\r\nComme mentionné précédemment, la variante utilisée dans cette campagne présente de nombreuses similitudes avec la\r\nvariante THOR, c'est pourquoi nous l'avons nommée Hodur. Ces similitudes incluent l'utilisation de la clé de registre\r\nSoftware\\CLASSES\\ms-pu, le même format pour les serveurs C\u0026C dans la configuration et l'utilisation de la classe de\r\nfenêtre Static .\r\nComme prévu pour les charges utiles Korplug, cette étape n'est jamais déchiffrée en mémoire par le chargeur. Seule la\r\nversion chiffrée est écrite sur le disque dans un fichier avec une extension .dat.\r\nSauf indication contraire, toutes les chaînes codées en dur dont il est question dans cette section sont stockées sous forme de\r\nchaînes de pile chiffrées.\r\nDans ce module, les fonctions de l'API Windows sont obfusquées par une combinaison des méthodes utilisées dans les\r\nétapes précédentes. LoadLibraryA et GetProcAddress sont résolus via la technique de hachage FNV-1a et les chaînes de pile\r\nsont déchiffrées et leur sont passées pour obtenir la fonction cible.\r\nChargement\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 6 of 16\n\nUne fois déchiffrée, la charge utile est une DLL valide qui exporte une seule fonction. Dans presque tous les échantillons\r\nobservés de cette campagne, cette fonction s'appelle StartProtect. Cependant, le lancement direct via cette exportation ou son\r\npoint d'entrée n'exécutera pas la charge utile principale et le processus de chargement est assez complexe.\r\nComme expliqué dans la section précédente, le fichier est déchiffré en mémoire comme un blob continu par le chargeur et\r\nl'exécution commence à l'offset 0x00. L'en-tête du PE contient un shellcode, illustré à la figure 6, qui appelle un offset\r\nspécifique correspondant à l'exportation unique du module.\r\nFigure 6. Shellcode dans l'en-tête PE qui appelle la fonction exportée\r\nCette fonction analyse le blob PE en mémoire et le mappe manuellement comme une bibliothèque dans un tampon\r\nnouvellement alloué. Cela inclut le mappage des différentes sections, la résolution des importations et, enfin, l'utilisation de\r\nDLL_PROCESS_ATTACH pour appeler le point d'entrée de la DLL. Une fois encore, des prédicats opaques et du code\r\npoubelle sont utilisés pour obscurcir l'objectif de cette fonction.\r\nLe point d'entrée de la bibliothèque correctement chargée est ensuite appelé avec la valeur non standard de 0x04 pour le\r\nparamètre fdwReason (seules les valeurs de 0x00 à 0x03 sont actuellement définies). Cette valeur spéciale est nécessaire\r\npour qu'il exécute sa charge utile principale. Cette simple vérification empêche l'exécution triviale de la RAT directement\r\navec un outil générique comme rundll32.exe.\r\nLe backdoor commence par déchiffrer sa configuration en utilisant la chaîne 123456789 comme clé XOR répétitive. Une\r\nfois déchiffré, le bloc de configuration commence par ########. La présentation de la configuration varie légèrement d'un\r\néchantillon à l'autre, mais ils contiennent tous au moins les champs suivants :\r\nNom du répertoire d'installation. Également utilisé comme nom de la clé de registre créée pour la persistance. Cette\r\nvaleur correspond approximativement au nom de l'application abusée avec trois lettres aléatoires ajoutées (par\r\nexemple, FontEDLZeP ou AdobePhotosGQp).\r\nNom du mutex\r\nUne valeur qui est soit une version, soit une chaîne d'identification\r\nListe des serveurs C\u0026C. Chaque entrée comprend l'adresse IP, le numéro de port et un numéro indiquant le protocole\r\nà utiliser avec ce C\u0026C.\r\nLa backdoor vérifie ensuite le chemin d'accès à partir duquel il s'exécute en utilisant GetModuleFileNameW. S'il correspond\r\nà %userprofile%\\\u003cinstallation directory\u003e ou %allusersprofile%\\\u003cinstallation directory\u003e, la fonctionnalité RAT sera\r\nexécutée. Sinon, elle passera par le processus d'installation.\r\nInstallation\r\nPour s'installer, le logiciel malveillant crée le répertoire susmentionné sous %allusersprofile%. À l'aide de\r\nSetFileAttributesW, il est ensuite marqué comme hidden et system. L'exécutable vulnérable, le module de chargement et les\r\nfichiers Korplug chiffrés sont copiés dans le nouveau répertoire.\r\nEnsuite, la persistance est établie. Les échantillons antérieurs y parvenaient en créant une tâche planifiée à exécuter au\r\ndémarrage via schtasks.exe. Les échantillons plus récents ajoutent une entrée de registre dans\r\nSoftware\\Microsoft\\Windows\\CurrentVersion\\Run, en essayant d'abord la ruche HKLM, puis HKCU. Cette entrée porte le\r\nmême nom que le répertoire d'installation et sa valeur correspond au chemin de l'exécutable nouvellement copié.\r\nUne fois la persistance mise en place, le logiciel malveillant lance l'exécutable depuis son nouvel emplacement et quitte.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 7 of 16\n\nRAT\r\nLa fonctionnalité de la RAT de la variante de Hodur utilisée dans cette campagne correspond essentiellement à celle des\r\nautres variantes de Korplug, avec quelques commandes et caractéristiques supplémentaires. Cependant, comme nous l'avons\r\nindiqué précédemment, les analyses détaillées des commandes Korplug sont rares. Nous souhaitons donc fournir une telle\r\nanalyse dans l'espoir d'aider les futurs analystes.\r\nDans ce mode, la porte dérobée parcourt la liste des serveurs C\u0026C dans sa configuration jusqu'à ce qu'elle arrive à la fin ou\r\nreçoive une commande de désinstallation. Pour chacun de ces serveurs, il traite les commandes jusqu'à ce qu'il reçoive une\r\ncommande Stop ou qu'il rencontre une erreur.\r\nLa poignée de main initiale de Hodur peut se faire par HTTPS ou TCP. Ceci est déterminé par une valeur dans la\r\nconfiguration pour ce serveur C\u0026C particulier. Les communications ultérieures se font toujours via TCP à l'aide d'un\r\nprotocole personnalisé que nous décrivons dans cette section, ainsi que les commandes qui peuvent être émises. Hodur\r\nutilise des sockets de l'API Windows Sockets (Winsock) qui prennent en charge les I/O superposées.\r\nAprès la poignée de main initiale, les communications de Hodur impliquent des messages TCP qui se composent d'un en-tête, avec la structure décrite dans le tableau 2, suivi d'un corps de message qui est généralement compressé en utilisant\r\nLZNT1 et toujours chiffré avec RC4. Les messages dont le champ d'en-tête Command number a le bit 0x10000000 activé\r\n(ceux qui contiennent des contenus de fichiers pour les commandes ReadFile et WriteFile, décrites dans le Tableau 3) ont\r\ndes corps de message chiffrés mais pas compressés. Tous les corps de message chiffrés utilisent la clé codée en dur\r\nsV!e@T#L$PH% à laquelle est ajouté un nonce aléatoire de quatre octets (la valeur située au décalage 0x00 dans l'en-tête).\r\nTableau 2. Format d'en-tête utilisé pour la communication entre le C\u0026C et le backdoor\r\nOffset Field Description\r\n0x00 Nonce Random nonce appended to the RC4 key.\r\n0x04\r\nCommand\r\nnumber\r\nThis field indicates the command to run or the command that caused this response to be\r\nsent.\r\n0x08 Length of body\r\nLength of the message body. It seems that this field isn’t checked by the client for\r\nmessages from the C\u0026C server.\r\n0x0C\r\nCommand exit\r\nstatus\r\nThe return or error value of the command that was run. This field is not checked by the\r\nclient in messages received from the C\u0026C server.\r\nLes en-têtes des messages du C\u0026C d'Hodur sont transmis en clair, suivis de corps de messages de taille variable (la valeur\r\nau décalage 0x08 de l'en-tête). Le format du corps du message varie selon la commande, mais une fois déchifré et\r\ndécompressé, les valeurs de longueur variable (comme les chaînes de caractères) se trouvent toujours à la fin du corps du\r\nmessage et leur décalage dans le corps est stocké sous forme d'un nombre entier dans le champ du message correspondant.\r\nComme la version décrite par Avira, Hodur possède deux groupes de commandes – 0x1001 et 0x1002 – chacun ayant son\r\npropre gestionnaire. Le serveur C\u0026C peut définir le groupe à écouter en envoyant l'ID correspondant comme numéro de\r\ncommande lorsqu'un client n'est pas déjà dans l'un des deux modes. Il continuera à écouter le même groupe jusqu'à ce qu'il\r\nreçoive la commande Stop, ou qu'une erreur se produise (y compris la réception d'un message dont l'en-tête contient un\r\nnuméro de commande invalide).\r\nLe premier groupe, 0x1001, contient des commandes permettant de gérer l'exécution de la porte dérobée et d'effectuer une\r\nreconnaissance initiale sur un hôte nouvellement compromis. Comme ces commandes ne prennent aucun argument, les\r\nmessages envoyés par le serveur C\u0026C ne sont constitués que des en-têtes. Le Tableau 3 contient une liste de ces\r\ncommandes. La commande GetSystemInfo est décrite plus en détail ci-dessous. Notez qu'aucun nom de commande n'est\r\nprésent dans la RAT ; ils ont été soit repris d'analyses précédentes, soit fournis par nous.\r\nTableau 3. Commandes du groupe 0x1001\r\nID Name Description\r\nData in client\r\nresponse\r\n0x1000 Ping\r\nSent by the client when it starts listening for commands from\r\nthis group.\r\nBetween 0 and 64\r\nrandom bytes\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 8 of 16\n\nID Name Description\r\nData in client\r\nresponse\r\n0x1001 GetSystemInfo Get information about the system. See Table 4\r\n0x1002 ListenThread Start a new thread that listens for group 0x1002 commands. None\r\n0x1004 ResetConnection Terminate with WSAECONNRESET. N/A\r\n0x1005 Uninstall\r\nDelete persistence registry keys, remove itself and created\r\nfolders.\r\nNone\r\n0x1007 Stop\r\nSet registry key\r\nSystem\\CurrentControlSet\\Control\\Network\\allow to 1 and exit.\r\nN/A\r\nLa commande GetSystemInfo collecte de nombreuses informations sur le système, comme détaillé dans le Tableau 4. Si elle\r\nn'existe pas déjà, la clé de registre Software\\CLASSES\\ms-pu\\CLSID est définie avec l'horodatage actuel, en essayant\r\nd'abord HKLM puis HKCU. La valeur de cette clé est ensuite envoyée dans la réponse.\r\nTableau 4. Format du corps de réponse pour la réponse GetSystemInfo\r\nOffset Value Offset Value\r\n0x00 Magic bytes 0x20190301 0x38 Suite mask\r\n0x04 Client IP address of the C\u0026C socket 0x3A Product type\r\n0x08 Server IP address of the C\u0026C socket 0x3C 0x01 if the process is running as WOW64\r\n0x0C RAM in KB 0x40 System time – year\r\n0x10 CPU clock rate in MHz 0x42 System time – month\r\n0x14 Display width in pixels 0x44 Timestamp of first run (offset)\r\n0x18 Display height in pixels 0x46 Service pack version string (offset)\r\n0x1C Default locale 0x48 Unknown\r\n0x20 Current tick count 0x4A Username (offset)\r\n0x24 OS major version 0x4C Computer name (offset)\r\n0x28 OS minor version 0x4E Mutex name (offset)\r\n0x2C OS build number 0x50 Unknown\r\n0x30 OS platform ID 0x52 List of machine IP addresses (offset)\r\n0x34 Service pack major version 0x54 Always two 0x00 bytes\r\n0x36 Service pack minor version\r\nLe groupe 0x1002 contient des commandes qui fournissent la fonctionnalité de la RAT, comme détaillé dans le Tableau 5.\r\nCertaines d'entre elles prennent des paramètres fournis dans le corps du message de la commande. La commande FindFiles\r\nest décrite plus en détail ci-dessous. Encore une fois, notez qu'aucun nom de commande n'est présent dans la RAT ; ils ont\r\nété soit repris d'analyses précédentes, soit fournis par nous.\r\nTableau 5. Commandes du groupe 0x1002\r\nID Name Description Data in C\u0026C request Data in client response\r\n0x1002 Ping\r\nSent by the client when it\r\nstarts listening for\r\ncommands from this group.\r\nN/A None\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 9 of 16\n\nID Name Description Data in C\u0026C request Data in client response\r\n0x3000 ListDrives\r\nList all mapped drives (A:\r\nto Z:) and their properties.\r\nAll 26 entries are sent back\r\nin one message body. Drives\r\nthat aren’t present have all\r\nfields set to 0x00.\r\nNone\r\nDrive type\r\nTotal size\r\nSpace available to\r\nuser\r\nFree space\r\nVolume name (offset)\r\nFile system name\r\n(offset)\r\n0x3001 ListDirectory\r\nList the contents of the\r\nspecified directory. The\r\nclient sends one response\r\nmessage per entry.\r\nDirectory path\r\nIs a directory?\r\nFile attributes\r\nFile size\r\nCreation time\r\nLast write time\r\nFilename (offset)\r\n8.3 filename (offset)\r\n0x3002 #rowspan#\r\nSent by the client when it\r\nhas finished executing the\r\nListDirectory command.\r\nN/A None\r\n0x3004 ReadFile\r\nRead a file in chunks of\r\n0x4000 bytes.\r\nCreation time\r\nLast access time\r\nLast write time\r\nHas offset\r\nOffset in file\r\nFile size\r\nFile path\r\n0x10003005 #rowspan# Chunk of read file data. N/A Read data\r\n0x10003006 #rowspan#\r\nSent by the client when it\r\nhas finished executing the\r\nReadFile command.\r\nN/A None\r\n0x3007 WriteFile\r\nWrite to a file and restore\r\nprevious timestamp.\r\nCreates parent directories if\r\nthey don’t exist.\r\nCreation time\r\nLast access time\r\nLast write time\r\nHas offset\r\nOffset in file\r\nFile path\r\n(offset)\r\nNone\r\n0x10003008 #rowspan#\r\nSent by the server with data\r\nto write to the file.\r\nData to write N/A\r\n0x10003009 #rowspan#\r\nSent by the server when the\r\nWriteFile operation is\r\ncomplete.\r\nNone N/A\r\n0x300A CreateDirectory Create a directory. Directory path None\r\n0x300B CanReadFile\r\nTry to open a file with read\r\npermissions.\r\nFile path None\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 10 of 16\n\nID Name Description Data in C\u0026C request Data in client response\r\n0x300C DesktopExecute\r\nExecute a command on a\r\nhidden desktop.\r\nCommand line to\r\nexecute\r\nPROCESS_INFORMATION\r\nstructure for the created\r\nprocess.\r\n0x300D FileOperation\r\nPerform a file operation\r\nusing SHFileOperation.\r\nwFunc\r\nfFlags\r\npFrom (offset)\r\npTo (offset)\r\nNone\r\n0x300E GetEnvValue\r\nGet the value of an\r\nenvironment variable.\r\nEnvironment variable Environment variable value.\r\n0x300F CreateProgramDataDir\r\nCreates the directory\r\n%SYSTEM%\\ProgramData,\r\noptionally with a\r\nsubdirectory.\r\nSubdirectory relative\r\npath (optional)\r\nNone\r\n0x3102 FindFiles\r\nRecursively search a\r\ndirectory for files matching\r\na given pattern.\r\nStarting\r\ndirectory\r\nSearch pattern\r\nSee response body format in\r\nTable 6.\r\n0x7002 RemoteShell\r\nStart an interactive remote\r\ncmd.exe session.\r\nNone None\r\n0x7003 #rowspan#\r\nResult of the last command\r\nrun.\r\nN/A Command output\r\nFindFiles command\r\nÀ partir du répertoire fourni, cette commande recherche les fichiers dont le nom correspond au motif donné. Ce modèle\r\nprend en charge les mêmes caractères génériques que l'API Windows FindFirstFile. Pour chaque fichier correspondant, le\r\nclient envoie un message de réponse dont le corps a le format décrit dans le Tableau 6.\r\nTableau 6. Format du corps de la réponse pour la commande FindFiles\r\nOffset Value Offset Value\r\n0x00 File attributes 0x24 Folder path (offset)\r\n0x04 File size in bytes 0x26 Filename (offset)\r\n0x0C Creation time 0x28 8.3 filename (offset)\r\n0x1C Last write time\r\nUn message de réponse avec un corps sans contenu est envoyé une fois la recherche terminée.\r\nConclusion\r\nLes leurres utilisés dans cette campagne montrent une fois de plus la rapidité avec laquelle Mustang Panda est capable de\r\nréagir aux événements mondiaux. Par exemple, un règlement de l'UE sur le COVID-19 a été utilisé comme leurre deux\r\nsemaines seulement après sa publication, et des documents sur la guerre en Ukraine ont commencé à être utilisés dans les\r\njours qui ont suivi le début du lancement de l'invasion. Ce groupe fait également preuve d'une capacité à améliorer ses outils\r\nde manière itérative, y compris son utilisation caractéristique de téléchargeurs tridentés pour déployer Korplug.\r\nPour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à threatintel@eset.com.\r\nESET Recherche propose désormais des rapports privés de renseignements sur les groupes APT et des flux de données. Pour\r\ntoute demande de renseignements sur ce service, visitez la page ESET Threat Intelligence.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 11 of 16\n\nIndicateurs de compromission (IoCs)\r\nSHA-1 Filename ESET detection name Descr\r\n69AB6B9906F8DCE03B43BEBB7A07189A69DC507B coreclr.dll Win32/Agent.ADMW Korpl\r\n10AE4784D0FFBC9CD5FD85B150830AEA3334A1DE N/A Win32/Korplug.TC\r\nDecry\r\n(dump\r\nmemo\r\n69AB6B9906F8DCE03B43BEBB7A07189A69DC507B coreclr.dll Win32/Agent.ADMW Korpl\r\n4EBFC035179CD72D323F0AB357537C094A276E6D PowerDVD18.exe Win32/Delf.UTN Korpl\r\nFDBB16B8BA7724659BAB5B2E1385CFD476F10607 N/A Win32/Korplug.TB\r\nDecry\r\n(dump\r\nmemo\r\n7E059258CF963B95BDE479D1C374A4C300624986 N/A Win32/Korplug.TC\r\nDecry\r\n(dump\r\nmemo\r\n7992729769760ECAB37F2AA32DE4E61E77828547 SHELLSEL.ocx Win32/Agent.ADMW Korpl\r\nF05E89D031D051159778A79D81685B62AFF4E3F9 SymHp.exe Win32/Delf.UTN Korpl\r\nAB01E099872A094DC779890171A11764DE8B4360 BoomerangLib.dll Win32/Korplug.TH Korpl\r\nCDB15B1ED97985D944F883AF05483990E02A49F7 PotPlayer.dll Win32/Agent.ADYO Korpl\r\n908F55D21CCC2E14D4FF65A7A38E26593A0D9A70 SmadHook32.dll Win32/Agent.ADMW Korpl\r\n477A1CE31353E8C26A8F4E02C1D378295B302C9E N/A Win32/Agent.ADMW Korpl\r\n52288C2CDB5926ECC970B2166943C9D4453F5E92 SmadHook32c.dll Win32/Agent.ADMW Korpl\r\nCBD875EE456C84F9E87EC392750D69A75FB6B23A SHELLSEL.ocx Win32/Agent.ADMW Korpl\r\n2CF4BAFE062D38FAF4772A7D1067B80339C2CE82 Adobe_Caps.dll Win32/Agent.ADMW Korpl\r\n97C92ADD7145CF9386ABD5527A8BCD6FABF9A148 DocConvDll.dll Win32/Agent.ADYO Korpl\r\n39863CECA1B0F54F5C063B3015B776CDB05971F3 N/A Win32/Korplug.TD\r\nDecry\r\n(dump\r\nmemo\r\n0D5348B5C9A66C743615E819AEF152FB5B0DAB97 FontEDL.exe clean\r\nVulne\r\nlegitim\r\nFile G\r\nexecu\r\nC8F5825499315EAF4B5046FF79AC9553E71AD1C0 Silverlight.Configuration.exe clean\r\nVulne\r\nlegitim\r\nMicro\r\nSilver\r\nConfi\r\nUtility\r\nD4FFE4A4F2BD2C19FF26139800C18339087E39CD PowerDVDLP.exe clean\r\nVulne\r\nlegitim\r\nPowe\r\nexecu\r\n65898ACA030DCEFDA7C970D3A311E8EA7FFC844A Symantec.exe clean Vulne\r\nlegitim\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 12 of 16\n\nSHA-1 Filename ESET detection name Descr\r\nSyma\r\nAntiV\r\nexecu\r\n7DDB61872830F4A0E6BF96FAF665337D01F164FC\r\nAdobe Stock Photos\r\nCS3.exe\r\nclean\r\nVulne\r\nlegitim\r\nStock\r\nexecu\r\nC13D0D669365DFAFF9C472E615A611E058EBF596\r\nCOVID-19 travel restrictions\r\nEU reviews list of third\r\ncountries.exe\r\nWin32/Agent_AGen.NJ Down\r\n062473912692F7A3FAB8485101D4FCF6D704ED23\r\nREGULATION OF THE\r\nEUROPEAN\r\nPARLIAMENT AND OF\r\nTHE COUNCIL.exe\r\nWin32/TrojanDownloader.Agent.GDL Down\r\n2B5D6BB5188895DA4928DD310C7C897F51AAA050 log.dll Win32/Agent.ACYW Korpl\r\n511DA645A7282FB84FF18C33398E67D7661FD663 2.exe Win32/Agent.ADPL Korpl\r\n59002E1A58065D7248CD9D7DD62C3F865813EEE6 log.dll Win32/Agent.ADXE Korpl\r\nF67C553678B7857D1BBC488040EA90E6C52946B3 KINGSTON.exe Win32/Agent.ADXZ Korpl\r\n58B6B5FD3F2BFD182622F547A93222A4AFDF4E76 PotPlayer.exe clean\r\nVulne\r\nlegitim\r\nexecu\r\nRéseaux\r\nDomain IP First seen Notes\r\n103.56.53[.]120 2021‑06‑15 Korplug C\u0026C\r\n154.204.27[.]181 2020‑10‑05 Korplug C\u0026C.\r\n43.254.218[.]42 2021‑02‑09 Download server.\r\n45.131.179[.]179 2020‑10‑05 Korplug C\u0026C.\r\n176.113.69[.]91 2021-04-19 Korplug C\u0026C.\r\nupespr[.]com 45.154.14[.]235 2022-01-17 Download server.\r\nurmsec[.]com 156.226.173[.]23 2022‑02‑23 Download server.\r\n101.36.125[.]203 2021-06-01 Korplug C\u0026C.\r\n185.207.153[.]208 2022‑02‑03 Download server.\r\n154.204.27[.]130 2021-12-14 Korplug C\u0026C.\r\n92.118.188[.]78 2022-01-27 Korplug C\u0026C.\r\nzyber-i[.]com 107.178.71[.]211 2022-03-01 Download server.\r\nlocvnpt[.]com 103.79.120[.]66 2021-05-21\r\nDownload server. This domain was previously used in a 2020\r\ncampaign documented by Recorded Future.\r\nTechniques MITRE ATT\u0026CK\r\nCe tableau a été conçu en utilisant la version 10 de MITRE ATT\u0026CK.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 13 of 16\n\nTactic ID Name Description\r\nResource\r\nDevelopment\r\nT1583.001\r\nAcquire Infrastructure:\r\nDomains\r\nMustang Panda has registered domains for use as\r\ndownload servers.\r\nT1583.003\r\nAcquire Infrastructure: Virtual\r\nPrivate Server\r\nSome download servers used by Mustang Panda\r\nappear to be on shared hosting.\r\nT1583.004 Acquire Infrastructure: Server Mustang Panda uses servers that appear to be\r\nexclusive to the group.\r\nT1587.001 Develop Capabilities: Malware Mustang Panda has developed custom loader and\r\nKorplug versions.\r\nT1588.006\r\nObtain Capabilities:\r\nVulnerabilities\r\nMultiple DLL hijacking vulnerabilities are used in\r\nthe deployment process.\r\nT1608.001\r\nStage Capabilities: Upload\r\nMalware\r\nMalicious payloads are hosted on the download\r\nservers.\r\nExecution\r\nT1059.003\r\nCommand and Scripting\r\nInterpreter: Windows\r\nCommand Shell\r\nWindows command shell is used to execute\r\ncommands sent by the C\u0026C server.\r\nT1106 Native API Mustang Panda uses CreateProcess and\r\nShellExecute for execution.\r\nT1129 Shared Modules\r\nMustang Panda uses LoadLibrary to load\r\nadditional DLLs at runtime. The loader and RAT\r\nare DLLs.\r\nT1204.002 User Execution: Malicious File Mustang Panda relies on the user executing the\r\ninitial downloader.\r\nT1574.002\r\nHijack Execution Flow: DLL\r\nSide-Loading\r\nThe downloader obtains and launches a vulnerable\r\napplication so it loads and executes the malicious\r\nDLL that contains the second stage.\r\nPersistence\r\nT1547.001\r\nBoot or Logon Autostart\r\nExecution: Registry Run Keys /\r\nStartup Folder\r\nKorplug can persist via registry Run keys.\r\nT1053.005\r\nScheduled Task/Job: Scheduled\r\nTask\r\nKorplug can persist by creating a scheduled task\r\nthat runs on startup.\r\nDefense\r\nEvasion T1140\r\nDeobfuscate/Decode Files or\r\nInformation\r\nThe Korplug file is encrypted and only decrypted\r\nat runtime, and its configuration data is encrypted\r\nwith XOR.\r\nT1564.001\r\nHide Artifacts: Hidden Files\r\nand Directories\r\nDirectories created during the installation process\r\nare set as hidden system directories.\r\nT1564.003 Hide Artifacts: Hidden Window\r\nKorplug can run commands on a hidden desktop.\r\nMultiple hidden windows are used during the\r\ndeployment process.\r\nT1070 Indicator Removal on Host\r\nKorplug’s uninstall command deletes registry keys\r\nthat store data and provide persistence.\r\nT1070.004\r\nIndicator Removal on Host:\r\nFile Deletion\r\nKorplug can remove itself and all created\r\ndirectories.\r\nT1070.006\r\nIndicator Removal on Host:\r\nTimestomp\r\nWhen writing to a file, Korplug sets the file’s\r\ntimestamps to their previous values.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 14 of 16\n\nTactic ID Name Description\r\nT1036.004\r\nMasquerading: Masquerade\r\nTask or Service\r\nScheduled tasks created for persistence use\r\nlegitimate-looking names.\r\nT1036.005 Masquerading: Match\r\nLegitimate Name or Location\r\nFile and directory names match expected values\r\nfor the legitimate app that is abused by the loader.\r\nT1112 Modify Registry\r\nKorplug can create, modify, and remove registry\r\nkeys.\r\nT1027\r\nObfuscated Files or\r\nInformation\r\nSome downloaded files are encrypted and stored\r\nas hexadecimal strings.\r\nT1027.005\r\nObfuscated Files or\r\nInformation: Indicator Removal\r\nfrom Tools\r\nImports are hidden by dynamic resolution of API\r\nfunction names.\r\nT1055.001\r\nProcess Injection: Dynamic-link Library InjectionSome versions of the Korplug loader inject the\r\nKorplug DLL into a newly launched process.\r\nT1620 Reflective Code Loading Korplug parses and loads itself into memory.\r\nDiscovery\r\nT1083 File and Directory Discovery\r\nKorplug can list files and directories along with\r\ntheir attributes and content.\r\nT1082 System Information Discovery\r\nKorplug collects extensive information about the\r\nsystem including uptime, Windows version, CPU\r\nclock rate, amount of RAM and display resolution.\r\nT1614 System Location Discovery\r\nKorplug retrieves the system locale using\r\nGetSystemDefaultLCID.\r\nT1016\r\nSystem Network Configuration\r\nDiscovery\r\nKorplug collects the system hostname and IP\r\naddresses.\r\nT1016.001\r\nSystem Network Configuration\r\nDiscovery: Internet Connection\r\nDiscovery\r\nThe downloader pings Google’s DNS server to\r\ncheck internet connectivity.\r\nT1033 System Owner/User Discovery Korplug obtains the current user’s username.\r\nT1124 System Time Discovery\r\nKorplug uses GetSystemTime to retrieve the\r\ncurrent system time.\r\nCollection\r\nT1005 Data from Local System\r\nKorplug collects extensive data about the system\r\nit’s running on.\r\nT1025 Data from Removable Media\r\nKorplug can collect metadata and content from all\r\nmapped drives.\r\nT1039\r\nData from Network Shared\r\nDrive\r\nKorplug can collect metadata and content from all\r\nmapped drives.\r\nCommand and\r\nControl\r\nT1071.001\r\nApplication Layer Protocol:\r\nWeb Protocols\r\nKorplug can make the initial handshake over\r\nHTTPS.\r\nT1095\r\nNon-Application Layer\r\nProtocol\r\nC\u0026C communication is done over a custom TCP-based protocol.\r\nT1573.001\r\nEncrypted Channel: Symmetric\r\nCryptography\r\nC\u0026C communication is encrypted using RC4.\r\nT1008 Fallback Channels\r\nThe Korplug configuration contains fallback C\u0026C\r\nservers.\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 15 of 16\n\nTactic ID Name Description\r\nT1105 Ingress Tool Transfer\r\nKorplug can download additional files from the\r\nC\u0026C server.\r\nT1571 Non-Standard Port\r\nWhen Hodur performs its initial handshake over\r\nHTTPS, it uses the same port (specified in the\r\nconfiguration) as for the rest of the\r\ncommunication.\r\nT1132.001\r\nData Encoding: Standard\r\nEncoding\r\nKorplug compresses transferred data using\r\nLZNT1.\r\nExfiltration T1041 Exfiltration Over C2 Channel\r\nData exfiltration is done via the same custom\r\nprotocol used to send and receive commands.\r\nSource: https://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nhttps://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/\r\nPage 16 of 16", "extraction_quality": 1, "language": "FR", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://www.welivesecurity.com/fr/2022/03/25/mustang-pandas-hodur-nouveau-korplug/" ], "report_names": [ "mustang-pandas-hodur-nouveau-korplug" ], "threat_actors": [ { "id": "93542ae8-73cb-482b-90a3-445a20663f15", "created_at": "2022-10-25T16:07:24.058412Z", "updated_at": "2026-04-10T02:00:04.853499Z", "deleted_at": null, "main_name": "PKPLUG", "aliases": [ "Stately Taurus" ], "source_name": "ETDA:PKPLUG", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "aa90ad17-8852-4732-9dba-72ffb64db493", "created_at": "2023-07-11T02:00:10.067957Z", "updated_at": "2026-04-10T02:00:03.367801Z", "deleted_at": null, "main_name": "RedDelta", "aliases": [], "source_name": "MISPGALAXY:RedDelta", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "f8dddd06-da24-4184-9e24-4c22bdd1cbbf", "created_at": "2023-01-06T13:46:38.626906Z", "updated_at": "2026-04-10T02:00:03.043681Z", "deleted_at": null, "main_name": "Tick", "aliases": [ "G0060", "Stalker Taurus", "PLA Unit 61419", "Swirl Typhoon", "Nian", "BRONZE BUTLER", "REDBALDKNIGHT", "STALKER PANDA" ], "source_name": "MISPGALAXY:Tick", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "b69037ec-2605-4de4-bb32-a20d780a8406", "created_at": "2023-01-06T13:46:38.790766Z", "updated_at": "2026-04-10T02:00:03.101635Z", "deleted_at": null, "main_name": "MUSTANG PANDA", "aliases": [ "Stately Taurus", "LuminousMoth", "TANTALUM", "Twill Typhoon", "TEMP.HEX", "Earth Preta", "Polaris", "BRONZE PRESIDENT", "HoneyMyte", "Red Lich", "TA416" ], "source_name": "MISPGALAXY:MUSTANG PANDA", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "54e55585-1025-49d2-9de8-90fc7a631f45", "created_at": "2025-08-07T02:03:24.563488Z", "updated_at": "2026-04-10T02:00:03.715427Z", "deleted_at": null, "main_name": "BRONZE BUTLER", "aliases": [ "CTG-2006 ", "Daserf", "Stalker Panda ", "Swirl Typhoon ", "Tick " ], "source_name": "Secureworks:BRONZE BUTLER", "tools": [ "ABK", "BBK", "Casper", "DGet", "Daserf", "Datper", "Ghostdown", "Gofarer", "MSGet", "Mimikatz", "Netboy", "RarStar", "Screen Capture Tool", "ShadowPad", "ShadowPy", "T-SMB", "down_new", "gsecdump" ], "source_id": "Secureworks", "reports": null }, { "id": "6daadf00-952c-408a-89be-aa490d891743", "created_at": "2025-08-07T02:03:24.654882Z", "updated_at": "2026-04-10T02:00:03.645565Z", "deleted_at": null, "main_name": "BRONZE PRESIDENT", "aliases": [ "Earth Preta ", "HoneyMyte ", "Mustang Panda ", "Red Delta ", "Red Lich ", "Stately Taurus ", "TA416 ", "Temp.Hex ", "Twill Typhoon " ], "source_name": "Secureworks:BRONZE PRESIDENT", "tools": [ "BlueShell", "China Chopper", "Claimloader", "Cobalt Strike", "HIUPAN", "ORat", "PTSOCKET", "PUBLOAD", "PlugX", "RCSession", "TONESHELL", "TinyNote" ], "source_id": "Secureworks", "reports": null }, { "id": "b5449533-0ff1-4048-999d-7d4bfd8e6da6", "created_at": "2022-10-25T16:07:24.114365Z", "updated_at": "2026-04-10T02:00:04.869887Z", "deleted_at": null, "main_name": "RedDelta", "aliases": [ "Operation Dianxun", "TA416" ], "source_name": "ETDA:RedDelta", "tools": [ "Agent.dhwf", "Agentemis", "Chymine", "Cobalt Strike", "CobaltStrike", "Darkmoon", "Destroy RAT", "DestroyRAT", "Gen:Trojan.Heur.PT", "Kaba", "Korplug", "PlugX", "Poison Ivy", "RedDelta", "SPIVY", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Xamtrav", "cobeacon", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "9baa7519-772a-4862-b412-6f0463691b89", "created_at": "2022-10-25T15:50:23.354429Z", "updated_at": "2026-04-10T02:00:05.310361Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Mustang Panda", "TA416", "RedDelta", "BRONZE PRESIDENT", "STATELY TAURUS", "FIREANT", "CAMARO DRAGON", "EARTH PRETA", "HIVE0154", "TWILL TYPHOON", "TANTALUM", "LUMINOUS MOTH", "UNC6384", "TEMP.Hex", "Red Lich" ], "source_name": "MITRE:Mustang Panda", "tools": [ "CANONSTAGER", "STATICPLUGIN", "ShadowPad", "TONESHELL", "Cobalt Strike", "HIUPAN", "Impacket", "SplatCloak", "PAKLOG", "Wevtutil", "AdFind", "CLAIMLOADER", "Mimikatz", "PUBLOAD", "StarProxy", "CorKLOG", "RCSession", "NBTscan", "PoisonIvy", "SplatDropper", "China Chopper", "PlugX" ], "source_id": "MITRE", "reports": null }, { "id": "d4e7cd9a-2290-4f89-a645-85b9a46d004b", "created_at": "2022-10-25T16:07:23.419513Z", "updated_at": "2026-04-10T02:00:04.591062Z", "deleted_at": null, "main_name": "Bronze Butler", "aliases": [ "Bronze Butler", "CTG-2006", "G0060", "Operation ENDTRADE", "RedBaldNight", "Stalker Panda", "Stalker Taurus", "Swirl Typhoon", "TEMP.Tick", "Tick" ], "source_name": "ETDA:Bronze Butler", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "9002 RAT", "AngryRebel", "Blogspot", "Daserf", "Datper", "Elirks", "Farfli", "Gh0st RAT", "Ghost RAT", "HOMEUNIX", "HidraQ", "HomamDownloader", "Homux", "Hydraq", "Lilith", "Lilith RAT", "McRAT", "MdmBot", "Mimikatz", "Minzen", "Moudour", "Muirim", "Mydoor", "Nioupale", "PCRat", "POISONPLUG.SHADOW", "Roarur", "RoyalRoad", "ShadowPad Winnti", "ShadowWali", "ShadowWalker", "SymonLoader", "WCE", "Wali", "Windows Credential Editor", "Windows Credentials Editor", "XShellGhost", "XXMM", "gsecdump", "rarstar" ], "source_id": "ETDA", "reports": null }, { "id": "2ee03999-5432-4a65-a850-c543b4fefc3d", "created_at": "2022-10-25T16:07:23.882813Z", "updated_at": "2026-04-10T02:00:04.776949Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Bronze President", "Camaro Dragon", "Earth Preta", "G0129", "Hive0154", "HoneyMyte", "Mustang Panda", "Operation SMUGX", "Operation SmugX", "PKPLUG", "Red Lich", "Stately Taurus", "TEMP.Hex", "Twill Typhoon" ], "source_name": "ETDA:Mustang Panda", "tools": [ "9002 RAT", "AdFind", "Agent.dhwf", "Agentemis", "CHINACHOPPER", "China Chopper", "Chymine", "ClaimLoader", "Cobalt Strike", "CobaltStrike", "DCSync", "DOPLUGS", "Darkmoon", "Destroy RAT", "DestroyRAT", "Farseer", "Gen:Trojan.Heur.PT", "HOMEUNIX", "Hdump", "HenBox", "HidraQ", "Hodur", "Homux", "HopperTick", "Hydraq", "Impacket", "Kaba", "Korplug", "LadonGo", "MQsTTang", "McRAT", "MdmBot", "Mimikatz", "NBTscan", "NetSess", "Netview", "Orat", "POISONPLUG.SHADOW", "PUBLOAD", "PVE Find AD Users", "PlugX", "Poison Ivy", "PowerView", "QMAGENT", "RCSession", "RedDelta", "Roarur", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Sogu", "TIGERPLUG", "TONEINS", "TONESHELL", "TVT", "TeamViewer", "Thoper", "TinyNote", "WispRider", "WmiExec", "XShellGhost", "Xamtrav", "Zupdax", "cobeacon", "nbtscan", "nmap", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434012, "ts_updated_at": 1775826683, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/55a3b0736af4982e50f9b47ecc345b0d3a09c455.pdf", "text": "https://archive.orkl.eu/55a3b0736af4982e50f9b47ecc345b0d3a09c455.txt", "img": "https://archive.orkl.eu/55a3b0736af4982e50f9b47ecc345b0d3a09c455.jpg" } }