Pesquisadores de segurança identificaram uma nova campanha atribuída ao grupo de ameaça avançada persistente conhecido como Mustang Panda, alinhado com interesses estatais da China. A operação utiliza um worm USB chamado SnakeDisk para disseminar o backdoor Yokai em alvos localizados na Tailândia. A técnica empregada envolve a infecção de dispositivos USB de forma automatizada.
Quando um pendrive é conectado ao sistema comprometido, o worm move todos os arquivos do usuário para uma subpasta e coloca um executável com o mesmo nome do volume, muitas vezes disfarçado como um arquivo legítimo. Ao ser clicado, esse arquivo inicia a infecção sem o conhecimento da vítima. O malware Yokai, uma vez instalado, permite que o atacante execute comandos arbitrários remotamente no sistema, mantendo controle persistente. Além disso, a campanha também utiliza variantes mais recentes do loader TONESHELL, que permitem comunicação com servidores de comando e controle por meio de conexões duplas e proxies locais.
Uma característica notável do SnakeDisk é a ativação geográfica. O malware só executa o payload principal quando detecta que o endereço IP do dispositivo está localizado na Tailândia, o que indica uma campanha altamente direcionada e planejada para evitar exposição desnecessária fora da região de interesse. Os analistas também identificaram técnicas avançadas de ofuscação no código, incluindo a inserção de trechos aleatórios copiados de páginas da web, como o site do ChatGPT, para dificultar a análise estática pelos mecanismos de defesa.
