中國駭客Mustang Panda鎖定泰國政府而來，散布USB蠕蟲SnakeDisk意圖滲透隔離網路環境

去年底資安業者Netskope揭露針對泰國政府官員的攻擊行動，駭客假借美國政府尋求執法活動協助為由，引誘官員上當，意圖在電腦植入後門程式Yokai，如今有新的調查結果出爐，反映這些攻擊行動很可能與地緣政治有關。

IBM旗下的威脅情報團隊X-Force指出，他們在今年7月發現中國駭客組織Mustang Panda（Earth Preta、RedDelta、Hive0154）最新一波的攻擊行動，過程中使用新的ToneShell變種，以及名為SnakeDisk的USB蠕蟲。特別的是，該蠕蟲只能在位於泰國的電腦運作，並於受害電腦部署Yokai。

該公司在2025年中，觀察到ToneShell和Pubload兩款惡意程式的新變種，而且大部分的檔案是從新加坡和泰國上傳。其中一個版本的變種Toneshell9配置相當特別，能夠成功迴避惡意軟體分析平臺VirusTotal所有防毒引擎偵測，並且透過本機的代理伺服器組態進行C2通訊，並設置兩個反向Shell，而有機會繞過企業網路的過濾機制。

IBM循線追查，在8月中旬看到這些駭客使用SnakeDisk蠕蟲，並根據受害電腦的IP位址是否位於泰國，來決定是否部署後門程式Yokai。該公司發現，此蠕蟲出現的時間，與泰國、柬埔寨今年5月開始的一系列政治事件不謀而合，再加上中國素來對柬埔寨提供武器及投資公共建設，研判駭客發起攻擊的目的，很可能想要滲透泰國政府的隔離網路（Air-Gap）環境。