Mustang Panda verbreitet neue Versionen seiner Malware über infizierte USB-Laufwerke. Check Point Research (CPR) entdeckte die Schadsoftware bei der Analyse eines Angriffs auf eine europäische Gesundheitseinrichtung. Die Gruppierung ist auch unter dem Namen Camaro Dragon und LuminousMoth bekannt. Es handelt sich dabei um einen Akteur mit Bezügen zu China. Er konzentriert sich erfahrungsgemäß auf südostasiatische Länder, jedoch zeigt der Vorfall eine potenziell globale Reichweite auf.
Der Erstzugriff erfolgt über ein infiziertes USB-Laufwerk. Ein Mitarbeiter, der an einer Konferenz in Asien teilgenommen hatte, teilte seine Präsentation mit einem Kollegen über seinen USB-Stick, der draufhin infiziert war. Bei der Rückkehr des Mitarbeiters in die Gesundheitseinrichtung in Europa wurde die Malware über den infizierten USB-Stick übertragen, was zur Ausbreitung der Malware-Infektion auf die Computersysteme führte, wie das „Infosecurity Magazine“ berichtet.
Der Sicherheitssoftware-Hersteller Avast beschreibt die Malware als Teil eines Toolsets mit der Bezeichnung „SSE“. Die Infektionskette beginnt damit, dass ein Opfer einen bösartigen, sogenannten Delphi-Launcher auf dem infizierten USB-Laufwerk startet, wodurch eine Backdoor installiert wird und andere Laufwerke infiziert werden, sobald sie angeschlossen werden.
WispRider, eine Variante der Malware, ist besonders wirksam. Sie kann mit dem sogenannten HopperTick-Launcher über USB-Laufwerke verbreitet werden und verfügt über zusätzliche Funktionen, wie zum Beispiel einen Bypass-Mechanismus, um Antiviren-Programme zu umgehen.
Die Vorgehensweise ermöglicht die Infektion potenziell isolierter Systeme. Daneben ist aber auch der Zugriff auf eine Vielzahl von Geräten möglich, die nicht primär angegriffen wurden.
Die Cyberabwehr des Landesamts für Verfassungsschutz rät daher, USB-Laufwerke, die in Behörden- oder
Unternehmensnetzwerken verwendet werden, nicht an fremde Geräte anzuschließen. Daneben sollten fremde USB-Laufwerke nicht an
Geräte angeschlossen werden, die wiederum Teil eines Behörden- oder Unternehmensnetzwerkes sind. Sollte es dennoch zu einer
Geräteverbindung kommen, können durch Hardware-Filter und Portsperren Datenübertragungen verhindert werden.