ESET researchers have analyzed MQsTTang, a new custom backdoor that we attribute to the Mustang Panda APT group. This backdoor is part of an ongoing campaign that we can trace back to early January 2023. Unlike most of the group’s malware, MQsTTang doesn’t seem to be based on existing families or publicly available projects.
MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT | WeLiveSecurity
Mustang Panda is known for its customized Korplug variants (also dubbed PlugX) and elaborate loading chains. In a departure from the group’s usual tactics, MQsTTang has only a single stage and doesn’t use any obfuscation techniques.
ESETの研究者は、マスタングパンダAPTグループに起因する新しいカスタムバックドアであるMQsTTangを分析しています。このバックドアは、2023年1月初旬から進行中のキャンペーンの一部です。グループのほとんどのマルウェアとは異なり、MQsTTangは既存のファミリや公開されているプロジェクトに基づいていないようです。
マスタングパンダは、カスタマイズされたKorplugバリアント(PlugXとも呼ばれます)と精巧なローディングチェーンで知られています。グループの通常の戦術とは異なり、MQsTTangにはステージが1つしかなく、難読化手法は使用されません。
