Un servicio cloud legítimo convertido en infraestructura de espionaje

El grupo de espionaje alineado con China Mustang Panda está ejecutando dos campañas contra el gobierno de la India y objetivos del sector hidroeléctrico, desplegando nuevo malware y convirtiendo el servicio cloud legítimo Zoho WorkDrive en su canal de comando y control. La actividad fue descubierta por la unidad de investigación de amenazas de Acronis.

El problema

Abusar de servicios cloud de confianza para el C2 es una técnica de evasión muy efectiva: el tráfico hacia Zoho WorkDrive se mezcla con el uso corporativo legítimo y elude controles que solo bloquean dominios maliciosos conocidos. Combinado con malware nuevo (no detectado por firmas), permite a Mustang Panda mantener acceso persistente a redes gubernamentales de forma sigilosa.

Recomendaciones inmediatas

  • Audita y restringe el uso de servicios de almacenamiento cloud no aprobados (Zoho WorkDrive, Dropbox, etc.) desde endpoints corporativos.
  • Aplica detección basada en comportamiento, no solo en reputación de dominios.
  • Vigila procesos no habituales que se autentican o sincronizan con servicios cloud externos.
  • Refuerza la monitorización en sistemas de organismos públicos e infraestructura crítica (OT/ICS).

¿Estás cubierto en DefensOps?

DefensOps detecta el abuso de servicios web legítimos como canal de C2 correlacionando el proceso de origen, el patrón de conexión y la actividad del endpoint.

  • T1102 — Web Service (C2)
  • T1566 — Phishing (acceso inicial)
  • T1071 — Application Layer Protocol

La detección de abuso de servicios web para C2 está disponible desde el plan Essential.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes:
- The Hacker News — Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks