O grupo de espionagem alinhado à China conhecido como Mustang Panda foi detectado em duas campanhas simultâneas contra órgãos do governo indiano e do setor de hidreletricidade em junho de 2026. A operação utiliza um novo conjunto de ferramentas — SHARDLOADER, MINIRECON e ZOHOMURK — e emprega o Zoho WorkDrive como canal de comando e controle, mascarando o tráfego malicioso como atividade legítima de nuvem, segundo pesquisa da Acronis Threat Research Unit.
Pontos-chave: Mustang Panda (China) conduziu duas campanhas contra governo e setor energético da Índia. Nova ferramenta ZOHOMURK abusa de credenciais OAuth do Zoho WorkDrive para C2 e exfiltração. Entregas via spear-phishing com DLL sideloading em binários assinados. Beaconing ativo observado entre 12 e 22 de junho de 2026. Acronis TRU colaborou com CERT-In na notificação das vítimas.
Nova ferramenta ZOHOMURK no toolkit
A Acronis Threat Research Unit (TRU) identificou três novos componentes no arsenal do Mustang Panda, divulgados em relatório publicado em 28 de junho. SHARDLOADER é um loader que opera por DLL sideloading — carrega uma DLL maliciosa por meio de binários legítimos assinados digitalmente, como o Solid PDF Creator e o Citrix Receiver. A técnica permite que o código malicioso execute no contexto de um processo confiável.
A partir do SHARDLOADER, duas cargas são desdobradas. MINIRECON é uma variante reescrita do backdoor Toneshell, previamente documentado pela IBM X-Force, que agora opera por beaconing em WebSocket sobre HTTPS. ZOHOMURK é o componente mais inovador: carrega credenciais OAuth hardcoded do Zoho e usa uma conta do WorkDrive controlada pelo atacante como dead drop, lendo comandos de uma pasta de entrada e gravando dados roubados em uma pasta de saída.
O tráfego entre o endpoint comprometido e o Zoho WorkDrive é indistinguível de atividade de nuvem normal, o que dificulta a detecção por ferramentas convencionais de análise de rede.
Como a cadeia de ataque funciona
A entrega acontece por meio de arquivos ZIP distribuídos em campanhas de spear-phishing, conforme constatou a The Hacker News. Em uma das campanhas, o arquivo era intitulado “Hydropower Cooperation Project Proposal.zip” e continha um executável legítimo do Solid PDF Creator ao lado de uma DLL maliciosa com atributo oculto — técnica recorrente em operações do Mustang Panda.
Quando a vítima executa o arquivo, o Windows carrega automaticamente a DLL maliciosa porque o executável assinado importa funções do componente com o mesmo nome. A partir desse momento, o SHARDLOADER decifra e lança a carga — ZOHOMURK ou MINIRECON, dependendo da campanha. A persistência é garantida por chaves de registro do Windows e uma tarefa agendada denominada “SolidPDFPcl2Bmp”.
O beaconing ativo foi observado entre 12 e 22 de junho de 2026, apontando para o domínio de C2 couldinstallup[.]com, no mesmo bloco de rede de infraestrutura que a IBM X-Force vinculou anteriormente ao grupo.
Alvos e iscas geopolíticas
As duas campanhas compartilham ferramental e artefatos idênticos, com variações menores entre os alvos. Ambas utilizam iscas temáticas alinhadas ao contexto geopolítico dos destinatários, segundo a Acronis:
| Campanha | Setor-alvo | Tema da isca | Binário legítimo | Carga implantada |
|---|---|---|---|---|
| Campanha I | Hidreletricidade | Proposta de cooperação | Solid PDF Creator | ZOHOMURK |
| Campanha II | Governo (MOU Taiwan) | Memorando de entendimento | Citrix Receiver | MINIRECON |
A Acronis identificou comprometimentos ativos em redes governamentais indianas, incluindo máquinas utilizadas por funcionários de nível administrativo sênior. A TRU colaborou com o CERT-In na notificação e limpeza das vítimas. O objetivo avaliado é a coleta de inteligência sobre os planos de hidreletricidade da Índia e suas relações de defesa com Taiwan.
Atribuição e contexto histórico
A Acronis atribui a atividade ao Mustang Panda com alta confiança com base em múltiplos indicadores: reutilização da cadeia de sideloading via Solid PDF Creator, sobreposição de código com o Toneshell, servidores de comando no mesmo bloco de rede previamente vinculado ao grupo, e um erro de digitação recorrente (“RunOnece”) presente em múltiplos implantes.
O interesse da China no setor energético indiano não é recente. Em 2021, a campanha RedEcho — também vinculada a atores alinhados a Pequim — atingiu a rede elétrica indiana com o backdoor ShadowPad. Em abril de 2026, a Acronis conectou o backdoor LOTUSLITE do Mustang Panda a ataques ao setor bancário indiano e a círculos políticos sul-coreanos, também encenados por meio de serviços de nuvem legítimos.
O que defenderes devem monitorar
Não há patch para essa ameaça. A defesa se concentra em detectar a entrega e o abuso do serviço de nuvem. A Acronis publicou indicadores específicos:
- Chaves de persistência no registro do Windows associadas ao SHARDLOADER.
- Tarefa agendada denominada “SolidPDFPcl2Bmp” — indicador de persistência do loader.
- Tráfego de rede para o domínio
couldinstallup[.]come user-agents do Zoho originados de processos que não são navegadores. - Endpoints governamentais acessando APIs de nuvem sem justificativa operacional.
Organizações governamentais e do setor energético, sobretudo aquelas envolvidas em acordos transfronteiriços de interesse geopolítico para Pequim, devem intensificar o monitoramento de entregas por spear-phishing com iscas temáticas, sideloading de binários assinados e qualquer processo de endpoint que faça chamadas a APIs de serviços de nuvem sem razão aparente.
Leia também: OceanLotus usa supply chain para infectar investidores