Acronis 威脅研究團隊指出,與中國相關的
駭客組織 Mustang Panda 近期擴大情蒐行動,鎖定印度銀行業與南韓外交政策相關人士,並使用更新版後門程式 LOTUSLITE 進行滲透。研究人員表示,此次行動是在先前以委內瑞拉議題作為誘餌、鎖定美國政府單位的攻擊之後,延伸出的新一波活動。
印度端以 CHM 誘餌投遞,偽裝 HDFC Bank 軟體
研究顯示,攻擊可能自 2026 年 3 月開始。印度目標端以名為
Request for Support.chm 的檔案作為誘餌,開啟後會顯示提及 HDFC Bank Limited 的彈窗,以提高可信度。使用者互動後,系統會觸發下載惡意 JavaScript 檔案 music.js,其來源網域為 cosmosmusiccom,並進一步導向植入流程。
Acronis 的調查也指出,攻擊者不僅利用支援單進行誘導,還製作看似 HDFC Bank 軟體的假視窗,讓受害者誤以為正在操作銀行應用程式。實際上,系統被部署的是 LOTUSLITE v1.1,具備後門能力,可對主機進行監控與資料蒐集。
南韓端鎖定政策圈,冒名寄送 Google Drive 連結
另一條攻擊鏈則聚焦南韓政治與外交政策圈。攻擊者冒充美國國家安全會議前亞洲事務主管 Victor Cha,使用偽造的 Gmail 帳號 victorcha707@gmail.com,並搭配其真實照片以提高可信度。郵件內容引導收件者開啟 Google Drive 資料夾連結;該資料夾名稱標示為 March 30,內含偽造邀請函等文件,意圖誘使政策相關人士開啟並遭感染。
以 DLL 側載執行惡意程式,並更換識別碼與指令旗標
在技術細節方面,研究人員觀察到該組織採用 DLL 側載手法,搭配具 Microsoft 簽章的合法檔案(例如 Microsoft_DNX.exe)作為載具,並將惡意 DLL 放置於同一目錄或相依路徑中。如此一來,系統在信任合法程式的情況下,會連帶載入惡意元件並執行。
為了提升隱匿性,攻擊者更換了用於辨識流量的內部魔術值,從 0x8899AABB 改為 0xB2EBCFDF。同時,他們將既有的指令旗標 –DATA 替換為 –ZoneMAX,以混淆既有的偵測規則。
此外,研究也指出攻擊者透過 Gleeze 服務與伺服器 editorgleezecom 溝通。這套基礎設施與過往攻擊行動相同,成為連結到 Mustang Panda 的佐證之一。即使手法有所更新,樣本中仍可見舊有的程式碼命名,例如 KugouMain、DataImporterMain,並留下提及長期追蹤該組織之資安研究人員的訊息。
防護建議
- 提醒使用者避免開啟來源不明的 chm 檔案與郵件附件,尤其是自稱支援單或邀請函的文件。
- 稽核可疑執行檔旁出現的 DLL,並強化端點偵測與回應(EDR)對 DLL 側載行為的告警規則。
- 建議封鎖或監控可疑網域與通聯,並建立針對 magic value 與指令旗標變更的威脅獵捕條件。
本文轉載自 Hackread。