Una simple memoria USB acaba con el "air gap": SnakeDisk elude cualquier aislamiento sin conexión a la red

Los investigadores de IBM X-Force revelaron nuevas operaciones del grupo chino Hive0154, más conocido como Mustang Panda. Los expertos registraron el uso simultáneo de una versión mejorada del backdoor Toneshell y del nuevo gusano USB SnakeDisk, que está dirigido específicamente a dispositivos en Tailandia. Este enfoque demuestra una labor concentrada de intrusión incluso en redes aisladas de instituciones estatales de la región.

La nueva versión del malware, denominada Toneshell9, supuso un avance notable respecto a modificaciones anteriores. Incorpora mecanismos para operar a través de proxies corporativos, lo que permite que el tráfico malicioso se camufle como conexiones de red legítimas.

En el arsenal de Toneshell9 hay un doble reverse shell para la ejecución paralela de comandos, algoritmos de cifrado únicos basados en generadores modificados de números aleatorios y técnicas de ocultación mediante la inserción de código basura con cadenas generadas por redes neuronales.

Para mantener la persistencia en la máquina infectada se utiliza sideloading de DLL, y la comunicación con los nodos de mando se disfraza como paquetes TLS 1.2 Application Data. El diseño del cliente permite atender simultáneamente varios servidores, proxies y conjuntos de claves. Resulta especialmente relevante la capacidad de leer la configuración de proxy del registro del sistema de Windows, lo que indica un conocimiento profundo de las arquitecturas de red.

Al mismo tiempo, los especialistas de IBM detectaron un gusano USB totalmente nuevo, SnakeDisk. Su activación ocurre solo al detectar direcciones IP en Tailandia, lo que señala el objetivo estratégico de la campaña. Las funciones de SnakeDisk incluyen la autorreplicación a través de medios extraíbles, el ocultamiento de archivos legítimos en unidades flash y la instalación del backdoor Yokai, que se había utilizado anteriormente en ataques contra funcionarios tailandeses a finales de 2024.

Este método permite a los atacantes sortear las brechas de aire y penetrar en sistemas críticos físicamente desconectados de Internet. El inicio de la campaña coincide con la intensificación de los conflictos fronterizos entre Tailandia y Camboya en 2025, lo que refuerza el contexto político del ataque.

Según los analistas, Hive0154 utiliza activamente la ingeniería social: para entregar archivos comprimidos infectados se emplearon documentos falsos en nombre del Ministerio de Relaciones Exteriores de Myanmar, distribuidos a través de los servicios en la nube Box y Google Drive. Los archivos maliciosos descargados desde Singapur y Tailandia confirman la orientación de las campañas hacia los países del sudeste asiático. El grupo dispone de sus propios cargadores, backdoors y familias de gusanos USB, lo que subraya su alto nivel de desarrollo.

IBM X-Force señala que las acciones de Hive0154 encajan con los intereses estratégicos de China, donde Camboya actúa como un aliado clave y la presión sobre Tailandia se emplea como instrumento de política regional. La selectividad geográfica de SnakeDisk indica que no se trata de una infección masiva, sino de una vigilancia dirigida y recopilación de información en un contexto de creciente inestabilidad.

Los especialistas recomiendan a las organizaciones en zonas de riesgo reforzar la protección: monitorizar la actividad de medios extraíbles, analizar el tráfico TLS sin apretones de manos válidos y verificar escrupulosamente los documentos descargados desde servicios en la nube, incluso si parecen oficiales. Mustang Panda sigue evolucionando, y sus herramientas más recientes demuestran que la amenaza para los países de la región sigue siendo grave y está en aumento.