Mustang Panda、インド政府への攻撃でZoho WorkDriveをC2通信に悪用

Mustang Panda、インド政府への攻撃でZoho WorkDriveをC2通信に悪用

The Hacker News – Jun 29, 2026

中国関連のサイバースパイグループMustang Pandaが、インドの政府および水力発電関連の標的に対して2つの攻撃キャンペーンを実行しているとAcronis Threat Research Unitが報告。これらのキャンペーンでは正規のクラウドサービスZoho WorkDriveがコマンドチャネルとして悪用され、新たなマルウェアツールキットが使用されているという。

Mustang Pandaは中国とのつながりを持つとされるAPTアクターで、BASINやBronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonなどとも呼ばれる。時事的な地政学情勢に合わせた終レーションで知られ、政府や政策関連の組織に対する標的型侵入活動を円滑化するため、国際会議、二国間協議、および地域特有の政治的出来事に関連するテーマを利用してきた。

今回Acronisが発見したMustang Pandaによるものとされる攻撃は、インドの水力発電部門と、台湾の政府機関と協力協定（MOU）を締結しているインドの政府機関を標的にしたものだったとされる。Mustang Pandaは、悪意あるDLLが仕込まれたZIPアーカイブを通じてマルウェアツールキットを標的に投下。これらのアーカイブはスピアフィッシングを通じて配布されたものとみられており、1つは水力発電協力の提案をテーマとし、もう1つはインドと台湾の機関との間の覚書をテーマにしたものだったという。

投下されたマルウェアツールキットは、今回初めて特定された以下のマルウェアで構成されている。

• SHARDLOADER：正規に署名されたバイナリを通じ、DLLサイドローディングにより展開されるローダーで、MINIRECONもしくはZOHOMURKのいずれかのインプラントをデプロイする。1つ目のキャンペーンではSolid PDF Creatorの実行ファイル、2つ目ではCitrix Receiverが使用されている。
• MINIRECON：Mustang Pandaのツールとして知られるToneshellバックドアを改変した亜種で、コアな性質はToneshellと同様。一方で、HTTPS上のWebSocket接続を介してビーコンを送信するようになるなど機能面やC2通信面での変化が確認されている。
• ZOHOMURK：ハードコードされたZoho OAuth認証情報を備え、これを使って攻撃者が制御するZoho WorkDriveアカウントをデッドドロップとして起動する。

このように、ZOHOMURKはインドの政府部門で広く使用されるクラウドストレージプラットフォームZoho WorkDriveを悪用してコマンドのやり取りやデータ提出を行う。これによりトラフィックを通常のクラウドアクティビティのように見せかけ、ネットワーク内部で密かにデータ窃取を行うことができるようになっているという。

Acronisはこれらの攻撃の目的をインドの水力発電所や台湾との防衛関係についてのインテリジェンス収集だったとみている。同社によるMustang Pandaが関与しているとの評価は、高い確度でなされているとのこと。