La campagne, baptisée Operation Diànxùn, utilise des logiciels malveillants se faisant passer pour des applications Adobe Flash et partage les mêmes tactiques, techniques et procédures (TTP) que des attaques précédemment attribuées par l’industrie, à Mustang Panda.

Motivations suspectées :

McAfee ATR estime, avec un niveau de confiance modéré, que :
• La motivation derrière cette campagne spécifique pourrait être liée à l’interdiction des technologie chinoises dans le déploiement mondial de la 5G.
• Cette campagne d’espionnage viserait à voler des informations sensibles ou secrètes en rapport avec les technologies 5G.

Enseignements principaux :
• McAfee ATR a découvert que les attaquants derrière l’opération Diànxùn utilisent des logiciels malveillants se faisant passer pour des applications Adobe Flash, qui se connectent à un domaine se faisant passer pour un site légitime d’embauche de l’entreprise Huawei.
• La campagne utilise des TTP similaires à celles de campagnes précédemment attribuées à Mustang Panda et RedDelta.
• Depuis mai 2020, les chercheurs en cybersécurité ont repéré des activités liées au groupe cybercriminel chinois RedDelta. McAfee ATR pense que RedDelta et Mustang Panda ne seraient qu’une seule et même entité. Les différences s’expliquerait par l’utilisation de backdoor CobaltStrike au lieu de backdoor PLugX.

En fait, le groupe Mustang Panda aurait apporté des changements dans ses outils offensifs dans les attaques attribuées à RedDelta