Mustang Panda usa Zoho WorkDrive como canal de mando contra el gobierno de la India
Resumen rápido
El grupo de espionaje alineado con China convierte un servicio cloud legítimo en su canal de C2 en campañas contra organismos gubernamentales y objetivos hidroeléctricos indios.
Un servicio cloud legítimo convertido en infraestructura de espionaje
El grupo de espionaje alineado con China Mustang Panda está ejecutando dos campañas contra el gobierno de la India y objetivos del sector hidroeléctrico, desplegando nuevo malware y convirtiendo el servicio cloud legítimo Zoho WorkDrive en su canal de comando y control. La actividad fue descubierta por la unidad de investigación de amenazas de Acronis.
El problema
Abusar de servicios cloud de confianza para el C2 es una técnica de evasión muy efectiva: el tráfico hacia Zoho WorkDrive se mezcla con el uso corporativo legítimo y elude controles que solo bloquean dominios maliciosos conocidos. Combinado con malware nuevo (no detectado por firmas), permite a Mustang Panda mantener acceso persistente a redes gubernamentales de forma sigilosa.
Recomendaciones inmediatas
- Audita y restringe el uso de servicios de almacenamiento cloud no aprobados (Zoho WorkDrive, Dropbox, etc.) desde endpoints corporativos.
- Aplica detección basada en comportamiento, no solo en reputación de dominios.
- Vigila procesos no habituales que se autentican o sincronizan con servicios cloud externos.
- Refuerza la monitorización en sistemas de organismos públicos e infraestructura crítica (OT/ICS).
¿Estás cubierto en DefensOps?
DefensOps detecta el abuso de servicios web legítimos como canal de C2 correlacionando el proceso de origen, el patrón de conexión y la actividad del endpoint.
- T1102 — Web Service (C2)
- T1566 — Phishing (acceso inicial)
- T1071 — Application Layer Protocol
La detección de abuso de servicios web para C2 está disponible desde el plan Essential.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes:
- The Hacker News — Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1102, T1566, T1071
- Abuso de servicio web como C2 · T1102 · plan Essential
- Tráfico C2 sobre protocolo de aplicación · T1071 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.