APT行动者利用水坑和供应链攻击，瞄准亚洲部分目标

据网络安全公司ESET报道，一名被追踪为“逃避熊猫”的中国高级持续威胁（ATP）行为者被观察到在水坑和供应链攻击中针对藏人。

Evasive Panda 也被称为 Bronze Highland 和 Daggerfly，至少自 2012 年以来一直很活跃，历史上以中国、印度和亚洲各国的政府实体为目标进行网络间谍活动。

在过去的半年里，APT一直在针对多个国家的藏人进行水坑攻击，利用蒙拉姆节组织者的受感染网站，根据他们的IP地址用恶意软件感染游客。

噶举国际僧团信托基金会（Kagyu International Monlam Trust）的网站上有一个脚本，该组织致力于推广藏传佛教，验证访问者的IP，并为他们提供恶意下载器。

对脚本的分析显示，澳大利亚、印度、香港、台湾和美国的用户成为目标，包括使用佐治亚理工学院网络的个人。

2023 年 9 月，Evasive Panda 入侵了一家印度公司的网站，该公司构建藏语翻译应用程序，以传播提供 Windows 和 macOS 下载器的木马应用程序。在 Windows 上，感染会导致 Nightdoor 或 MgBot（已知难以捉摸的 Panda 后门）。

夜门后门至少从 2020 年开始就一直在使用，当时它被部署在越南的一个组织身上。它可以收集系统和磁盘驱动器信息，收集有关应用程序和正在运行的进程的信息，创建反向 shell，以及操作和删除文件。

同一网站以及西藏新闻媒体西藏邮报的网站也被用来托管恶意有效载荷，包括Windows的后门和针对macOS用户的大量有效载荷。

“我们非常有信心地将这次活动归因于 Evasive Panda APT 组织，基于所使用的恶意软件：MgBot 和 Nightdoor。过去，我们看到两个后门一起部署，对台湾的一个宗教组织进行了不相关的攻击，“ESET指出。

作为新确定的活动的一部分，难以捉摸的熊猫可能利用对 2024 年 1 月和 2 月举行的 Monlam 音乐节的兴趣来感染访问该音乐节网站的用户。