该恶意软件活动被认为是APT组织Mustang Panda（也称为Camaro Dragon）所为。这一切都始于一名参加亚洲会议的员工通过使用受感染的 USB 驱动器与同事共享演示文稿，在不知情的情况下将恶意软件引入了其位于欧洲的组织。

根据Check Point Research(CPR)的一份报告，最近间谍恶意软件新版本的激增引起了人们的担忧，因为它们通过受感染的USB驱动器迅速传播。

该恶意软件活动是在对欧洲一家医疗机构遭受攻击的调查过程中发现的，揭示了名为Mustang Panda（也称为TA416、Red Lich、Earth Preta、HoneyMyte和Bronze President）的威胁行为者的活动，科迈罗龙和夜光蛾。

值得注意的是，今年3月初，Mustang Panda被观察到使用新的MQsTTang后门来攻击亚洲和欧洲的政府和政治组织。

虽然野马熊猫历来专注于东南亚国家，但这次事件揭示了它们扩大的全球影响力。该攻击最初通过受感染的USB驱动器访问该机构的系统。

一名曾在亚洲参加会议的员工在不知情的情况下使用受感染的USB驱动器与同事分享了演示文稿，从而在他们返回欧洲后将恶意软件引入了组织。

正如CPR的博客文章中所述，该恶意软件是Avast之前报告的“SSE”工具集的一部分，它使用存储在受感染USB闪存驱动器上的恶意Delphi启动器。一旦执行，它就会部署一个主要后门并将感染传播到其他连接的驱动器。

该恶意软件的一种特别强大的变体名为WispRider，它使用HopperTick启动器通过USB驱动器进行传播。值得注意的是，它包括专门设计用于规避SmadAV（东南亚流行的防病毒软件）的旁路机制。

为了增强其规避能力，该恶意软件利用DLL旁加载技术，利用安全软件和知名游戏公司的组件。这种多管齐下的方法使恶意软件能够在受感染的计算机上建立后门，同时感染新连接的可移动驱动器，从而可能渗透隔离系统并授予对主要目标之外的各种实体的访问权限。

在该公司最近识别出野马熊猫的单独攻击媒介后，CPR公告起到了及时的警告作用。这个威胁行为者正在进行的活动凸显了组织迫切需要对不断变化的网络威胁保持警惕并保持强大的安全措施，特别是在处理USB驱动器等外部存储设备时。