Profil Mustang Panda dan Cegah Serangannya

Asal: Cina

Nama Komunitas: Temp.Hex, UNC1066, BRONZE PRESIDENT, HoneyMyte

Target Industri: Pertahanan, Ekstraktif, Pemerintah, Militer, LSM dan Nirlaba

Mustang Panda

Diperkirakan Mustang Panda beroperasi sejak 2016 dan mengincar Asia Tengah, Timur dan Tenggara. Aktifitas mereka sangat tinggi di tahun 2019 hingga 2020 dengan direpresentasikan munculnya grup RedDelta.

Awalnya, serangan Mustang Panda menggunakan Visual Basic Application namun kini sudah mulai menggunakan Destory PlugX dan Cobalt Strike Beacon sebagai remote access tool sehingga tingkat serangan pun menjadi masif. Aktifitas terakhir yang terindentifikasi yaitu insiden pada website kepresidenan di Myanmar dan beberapa aktifitas di negara ASEAN.

Berikut daftar lengkap senjata yang dipakai Mustang Panda untuk melakukan penyerangan, yaitu PlugX, Destory, Poison Ivy, NjRat, VisualBasic Scripts, PowerShell Empire, Cobalt Strike, Custom Loaders, Persistence via Windows scheduled tasks dan DLL search order hijacking.

Untuk menghindari ancaman dari Mustang Panda, hindari membuka dokumen Microsoft Office yang tidak dikenali, membuka .LNK atau file shortcut yang tidak dikenali karena berpotensi terdapat perintah PowerShell dan file .HTA asing karena dapat mendownload file berbahaya dari luar.

Exploit yang biasa digunakan oleh Mustang Panda adalah CVE-2017-0199 dimana memanfaatkan celah keamanan pada Microsoft Office dan WordPad untuk melakukan remote code execution. Oleh karena itu, pastikan kamu selalu update OS dan aplikasi yang terinstall.