O grupo de espionagem alinhado à China conhecido como Mustang Panda foi detectado em duas campanhas simultâneas contra órgãos do governo indiano e do setor de hidreletricidade em junho de 2026. A operação utiliza um novo conjunto de ferramentas — SHARDLOADER, MINIRECON e ZOHOMURK — e emprega o Zoho WorkDrive como canal de comando e controle, mascarando o tráfego malicioso como atividade legítima de nuvem, segundo pesquisa da Acronis Threat Research Unit.

Pontos-chave: Mustang Panda (China) conduziu duas campanhas contra governo e setor energético da Índia. Nova ferramenta ZOHOMURK abusa de credenciais OAuth do Zoho WorkDrive para C2 e exfiltração. Entregas via spear-phishing com DLL sideloading em binários assinados. Beaconing ativo observado entre 12 e 22 de junho de 2026. Acronis TRU colaborou com CERT-In na notificação das vítimas.

Nova ferramenta ZOHOMURK no toolkit

A Acronis Threat Research Unit (TRU) identificou três novos componentes no arsenal do Mustang Panda, divulgados em relatório publicado em 28 de junho. SHARDLOADER é um loader que opera por DLL sideloading — carrega uma DLL maliciosa por meio de binários legítimos assinados digitalmente, como o Solid PDF Creator e o Citrix Receiver. A técnica permite que o código malicioso execute no contexto de um processo confiável.

A partir do SHARDLOADER, duas cargas são desdobradas. MINIRECON é uma variante reescrita do backdoor Toneshell, previamente documentado pela IBM X-Force, que agora opera por beaconing em WebSocket sobre HTTPS. ZOHOMURK é o componente mais inovador: carrega credenciais OAuth hardcoded do Zoho e usa uma conta do WorkDrive controlada pelo atacante como dead drop, lendo comandos de uma pasta de entrada e gravando dados roubados em uma pasta de saída.

O tráfego entre o endpoint comprometido e o Zoho WorkDrive é indistinguível de atividade de nuvem normal, o que dificulta a detecção por ferramentas convencionais de análise de rede.

Como a cadeia de ataque funciona

A entrega acontece por meio de arquivos ZIP distribuídos em campanhas de spear-phishing, conforme constatou a The Hacker News. Em uma das campanhas, o arquivo era intitulado “Hydropower Cooperation Project Proposal.zip” e continha um executável legítimo do Solid PDF Creator ao lado de uma DLL maliciosa com atributo oculto — técnica recorrente em operações do Mustang Panda.

Quando a vítima executa o arquivo, o Windows carrega automaticamente a DLL maliciosa porque o executável assinado importa funções do componente com o mesmo nome. A partir desse momento, o SHARDLOADER decifra e lança a carga — ZOHOMURK ou MINIRECON, dependendo da campanha. A persistência é garantida por chaves de registro do Windows e uma tarefa agendada denominada “SolidPDFPcl2Bmp”.

O beaconing ativo foi observado entre 12 e 22 de junho de 2026, apontando para o domínio de C2 couldinstallup[.]com, no mesmo bloco de rede de infraestrutura que a IBM X-Force vinculou anteriormente ao grupo.

Alvos e iscas geopolíticas

As duas campanhas compartilham ferramental e artefatos idênticos, com variações menores entre os alvos. Ambas utilizam iscas temáticas alinhadas ao contexto geopolítico dos destinatários, segundo a Acronis:

Campanha Setor-alvo Tema da isca Binário legítimo Carga implantada
Campanha I Hidreletricidade Proposta de cooperação Solid PDF Creator ZOHOMURK
Campanha II Governo (MOU Taiwan) Memorando de entendimento Citrix Receiver MINIRECON

A Acronis identificou comprometimentos ativos em redes governamentais indianas, incluindo máquinas utilizadas por funcionários de nível administrativo sênior. A TRU colaborou com o CERT-In na notificação e limpeza das vítimas. O objetivo avaliado é a coleta de inteligência sobre os planos de hidreletricidade da Índia e suas relações de defesa com Taiwan.

Atribuição e contexto histórico

A Acronis atribui a atividade ao Mustang Panda com alta confiança com base em múltiplos indicadores: reutilização da cadeia de sideloading via Solid PDF Creator, sobreposição de código com o Toneshell, servidores de comando no mesmo bloco de rede previamente vinculado ao grupo, e um erro de digitação recorrente (“RunOnece”) presente em múltiplos implantes.

O interesse da China no setor energético indiano não é recente. Em 2021, a campanha RedEcho — também vinculada a atores alinhados a Pequim — atingiu a rede elétrica indiana com o backdoor ShadowPad. Em abril de 2026, a Acronis conectou o backdoor LOTUSLITE do Mustang Panda a ataques ao setor bancário indiano e a círculos políticos sul-coreanos, também encenados por meio de serviços de nuvem legítimos.

O que defenderes devem monitorar

Não há patch para essa ameaça. A defesa se concentra em detectar a entrega e o abuso do serviço de nuvem. A Acronis publicou indicadores específicos:

  • Chaves de persistência no registro do Windows associadas ao SHARDLOADER.
  • Tarefa agendada denominada “SolidPDFPcl2Bmp” — indicador de persistência do loader.
  • Tráfego de rede para o domínio couldinstallup[.]com e user-agents do Zoho originados de processos que não são navegadores.
  • Endpoints governamentais acessando APIs de nuvem sem justificativa operacional.

Organizações governamentais e do setor energético, sobretudo aquelas envolvidas em acordos transfronteiriços de interesse geopolítico para Pequim, devem intensificar o monitoramento de entregas por spear-phishing com iscas temáticas, sideloading de binários assinados e qualquer processo de endpoint que faça chamadas a APIs de serviços de nuvem sem razão aparente.

Leia também: OceanLotus usa supply chain para infectar investidores

Fontes e referências