קבוצת האקרים סינית הידועה בשם Mustang Panda נקשרה לשורה של מתקפות סייבר מתוחכמות וממוקדות שכוונו נגד גופים לענייני חוץ אירופיים מאז ינואר 2023. ניתוח של חוקרי חברת אבטחת הסייבר הישראלית צ'ק פוינט – איתי כהן ורדוסלב מדג', חשף נוזקה מותאמת אישית אשר תוכננה במיוחד לניצול נתבי TP-Link. הנוזקה כוללת דלת אחורית מותאמת אישית בשם Horse Shell המאפשרת לתוקפים לשמור על גישה מתמשכת במערכת המחשוב של הקורבן, לבנות תשתית אנונימית ולאפשר תנועה לרוחב בתוך רשתות מחשוב.
צ'ק פוינט טוענת כי השיטה המדויקת ששימשה להטמעת הנוזקה בנתבים הנגועים אינה ידועה כרגע. על פי החשד, ייתכן שגישה ראשונית הושגה על ידי ניצול ליקויי אבטחה ידועים או שימוש בסיסמאות ברירת מחדל וסיסמאות שניתן לנחש בקלות. מה שידוע הוא ששתל Horse Shell מבוסס C++ מספק להאקרים את היכולת לבצע פקודות מעטפת שרירותיות, להעלות ולהוריד קבצים לנתב וממנו ולהעביר תקשורת בין שני לקוחות שונים.
בחברת צ'ק פוינט מאמינים כי הדלת האחורית של הנתב מכוונת למכשירים ברשתות ביתיות, מה שמצביע על כך שהנתבים שנפגעו מצטרפו לרשת במטרה ליצור שרשרת של צמתים. בהעברת תקשורת בין נתבים נגועים על ידי שימוש במנהרת SOCKS, הרעיון הוא להכניס שכבה נוספת של אנונימיות ולהסתיר את השרת הסופי, שכן כל צומת בשרשרת מכילה מידע רק על הצמתים הקודמים לה ואלו שאחריה. במילים אחרות, השיטות מסתירות את המוצא והיעד של התעבורה באופן מקביל ל- TOR, מה שהופך את זיהוי המתקפה, היקפה והפסקתה – לקשים מאד. אם צומת אחת בשרשרת נפגעת או מושבתת, עדיין יכולים ההאקרים לשמור על תקשורת עם שרת הפיקוד והבקרה על ידי ניתוב תעבורה דרך צומת אחרת בשרשרת.
אין זו הפעם הראשונה שקבוצות האקרים המזוהות על הממשל הסיני מתסמכות על רשת של נתבים שנפרצו כדי לעמוד ביעדים האסטרטגיים שלהם: בשנת 2021 חשפה הסוכנות הלאומית לאבטחת סייבר של צרפת (ANSSI) מערך פריצות שתוזמן על ידי APT31 (הידוע גם בשם Judgment Panda או Violet Typhoon) אשר מינפה נוזקה מתקדמת הידועה בשם Pakdoor (או SoWat) כדי לאפשר לנתבים נגועים לתקשר ביניהם.