ในเดือนเมษายน 2017 นักวิจัยจาก CrowdStrike Falcon Intelligence รายงานถึงกลุ่มแฮ็กเกอร์ที่ไม่เคยถูกพบมาก่อน ซึ่งกำลังโจมตีกลุ่มผู้เชี่ยวชาญในสายงานต่าง ๆ ในสหรัฐฯ ที่มีความสัมพันธ์กับจีน การสืบสวนเพิ่มเติมทำให้พบแคมเปญการโจมตีที่ใหญ่กว่านั้น โดยแสดงให้เห็นถึงเทคนิคการโจมตีที่โดดเด่น ซึ่งกลุ่มดังกล่าวเป็นที่รู้จักจากการโจมตีองค์กรภาค NGOs อย่างกว้างขวาง
Mustang Panda เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีฐานอยู่ในประเทศจีน ถูกพบครั้งแรกในปี 2017 แต่มีแนวโน้มว่าได้ปฏิบัติการมาตั้งแต่ปี 2014 โดยกลุ่มนี้ได้ทำการโจมตีหน่วยงานที่หลากหลาย เช่น องค์กรรัฐบาล, องค์กรไม่แสวงผลกำไร, สถาบันศาสนา และองค์กรนอกภาครัฐอื่น ๆ ในสหรัฐอเมริกา, ยุโรป, มองโกเลีย, เมียนมา, ปากีสถาน, เวียดนาม และภูมิภาคอื่น ๆ
ในแคมเปญที่ดำเนินการในเดือนพฤษภาคม 2024 กลุ่ม Mastang Panda ได้โจมตีหน่วยงานในประเทศเวียดนามโดยใช้เอกสารที่เกี่ยวกับ tax compliance โดยเมื่อสังเกตจากโครงสร้างพื้นฐานที่ใช้ในแคมเปญเดือนพฤษภาคม 2024 นักวิจัยได้ระบุแคมเปญอีกหนึ่งแคมเปญของเดือนเมษายน 2024 ซึ่งเป็นการโจมตีหน่วยงานด้านการศึกษา
ในทั้งสองแคมเปญ การติดมัลแวร์เริ่มต้นจากอีเมลสแปมที่มีไฟล์แนบ ซึ่งไฟล์แนบจะประกอบไปด้วยไฟล์ ZIP และ RAR ที่มีไฟล์ Windows shortcut (LNK) ที่เป็นอันตราย เพื่อเรียกใช้งานไฟล์ PowerShell, Mshta และ batch (bat) หลายไฟล์ ผลลัพธ์สุดท้ายคือไฟล์โหลด DLL ที่เป็นอันตราย ซึ่งจะทำการรัน shellcode ซึ่งสามารถดาวน์โหลด และรันไฟล์ที่อันตรายอื่น ๆ ลงในระบบได้เพิ่มเติม
รายละเอียดทางเทคนิค
CRIL พบหนึ่งแคมเปญในเดือนพฤษภาคม 2024 ที่ใช้ไฟล์ LNK ที่อันตรายชื่อ “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.