Mustang, Panda

Mustang Panda: Chinesische Hacker missbrauchen Zoho WorkDrive

Veröffentlicht: 01.07.2026 um 18:18 Uhr, Redaktion boerse-global.de

Chinesische Hacker nutzen Zoho WorkDrive als C2-Plattform für Angriffe auf indische Regierung und Wasserkraftwerke.

Mustang Panda: Spionage gegen Indien via Zoho Cloud
Eine Schattenfigur in einem dunklen Raum, erleuchtet von mehreren Bildschirmen mit Code und Netzwerkdiagrammen, symbolisiert Cyber-Spionage. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die chinesische Hackergruppe Mustang Panda hat zeitgleiche Spionagekampagnen gegen indische Regierungsnetzwerke und den Wasserkraftsektor des Landes gestartet. Im Fokus steht der Missbrauch des Cloud-Dienstes Zoho WorkDrive als Kommandozentrale.

Cloud-Dienst als Trojanisches Pferd

Cybersicherheitsforscher von Acronis TRU entdeckten die Angriffe und arbeiten mit dem indischen Computer-Notfallteam CERT-In zusammen. Die Gruppe nutzt den legitimen Cloud-Speicherdienst Zoho WorkDrive als sogenannte Command-and-Control(C2)-Plattform. So tarnt sie den Datenabfluss als normalen Cloud-Verkehr – eine besonders tückische Methode.

Die Angriffskette beginnt mit gezielten Spear-Phishing-Mails. Diese enthalten ZIP-Archive mit geopolitischen Ködern: Dokumente über ein Wasserkraft-Kooperationsprojekt sowie eine Absichtserklärung zwischen Indien und Taiwan.

Drei Schadprogramme im Einsatz

Mustang Panda setzt auf eine dreiteilige Malware-Strategie:

SHARDLOADER öffnet die Tür. Der Schädling nutzt DLL-Sideloading-Techniken aus – er kapert legitime Programme wie Solid PDF Creator oder Citrix Receiver, um weitere Schadsoftware einzuschleusen. Die Forscher identifizierten zwei Versionen: Version 1.0 lädt MINIRECON nach, Version 1.1 bringt ZOHOMURK ins Spiel.

Anzeige

Wer die Taktik von Mustang Panda verstehen will, findet in diesem Report die wichtigsten Erkennungsregeln – von API-Überwachung bis EDR-Konfiguration. Jetzt kostenlosen CISO-Report anfordern

MINIRECON ist eine Variante der bekannten Toneshell-Hintertür. Es kommuniziert per WebSockets über HTTPS mit dem Kommandoserver couldinstallup[.]com.

ZOHOMURK ist das Herzstück der Operation. Die Malware enthält fest einprogrammierte Zoho-OAuth-Zugangsdaten. Damit greift sie auf ein vom Angreifer kontrolliertes WorkDrive-Konto zu – als toter Briefkasten für Befehle und als Sammelstelle für gestohlene Daten.

Aktivitäten im Juni entdeckt

Die aktive Kommunikation der infiltrierten Systeme wurde zwischen dem 12. und 22. Juni 2026 registriert. Die Zuordnung zu Mustang Panda stützt sich auf mehrere Indizien: die gezielte Auswahl kritischer Infrastruktur, Code-Überschneidungen mit Toneshell und die Wiederverwendung eines C2-Netzwerkblocks aus früheren Operationen. Ein wiederkehrender Tippfehler im Registrierungsschlüssel „RunOnece" bestätigt die Spur zusätzlich.

Schutzmaßnahmen für betroffene Sektoren

Anzeige

Spear-Phishing mit geopolitischen Ködern: Die Angriffskette beginnt harmlos – doch SHARDLOADER, MINIRECON und ZOHOMURK arbeiten im Verbund. Dieser Leitfaden zeigt, wie Sie die drei Schadprogramme stoppen. Mustang-Panda-Abwehrleitfaden jetzt sichern

Sicherheitsexperten empfehlen Organisationen in gefährdeten Branchen, ungewöhnliche API-Aktivitäten zu überwachen und Zoho-User-Agents außerhalb von Browser-Prozessen im Auge zu behalten. Weitere Maßnahmen: die Einschränkung von Cloud-Speicher-Mandanten und der Einsatz von Endpoint-Detection-Response(EDR)-Tools zur Erkennung unbefugter DLL-Sideloading-Versuche.

Die Entdeckung reiht sich ein in eine Serie chinesisch gestützter Aktivitäten in der Region. Bereits Anfang des Jahres waren Angriffe auf das Stromnetz und den Bankensektor bekannt geworden.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69668951 |