Mientras los funcionarios leían cartas falsificadas, un código ajeno sustraía secretos del Gobierno.

Un servicio en la nube común para archivos de trabajo se convirtió en parte de una operación de espionaje en la que el grupo chino Mustang Panda atacó a organismos gubernamentales indios y al sector energético, y utilizó Zoho WorkDrive para gestionar los sistemas infectados.
Especialistas de la Acronis Threat Research Unit vincularon a Mustang Panda dos campañas dirigidas a organizaciones relacionadas con la hidroenergía de India y con acuerdos de cooperación con Taiwán. Según la empresa, los atacantes enviaron archivos comprimidos con señuelos sobre temas gubernamentales y sectoriales, y dentro ocultaron el cargador SHARDLOADER y los nuevos implantes MINIRECON y ZOHOMURK.
La cadena de ataque se basaba en la suplantación de archivos DLL. La víctima ejecutaba un archivo legítimo firmado, por ejemplo, un componente Solid PDF Creator o Citrix Receiver, y Windows cargaba automáticamente la biblioteca maliciosa desde la misma carpeta. Así, SHARDLOADER se ejecutaba haciéndose pasar por una aplicación de confianza, se fijaba en el sistema y pasaba el control al siguiente módulo.
MINIRECON otorgaba a los atacantes acceso remoto a la máquina infectada, permitía ejecutar comandos y subir y descargar archivos. Para comunicarse con el servidor de mando, el implante usaba WebSocket sobre HTTPS y podía funcionar a través de proxies locales, lo que ayudaba a que el tráfico pareciera más habitual en una red corporativa.
La parte más visible de la campaña fue ZOHOMURK. El malware utilizó Zoho WorkDrive como canal de control y de extracción de datos. Tras su ejecución, el implante creaba carpetas para la víctima en la cuenta de los operadores, comprobaba la aparición de archivos con comandos, ejecutaba las instrucciones y subía las respuestas de nuevo a la nube. Ese mecanismo camuflaba la actividad como trabajo con un servicio legítimo.
Durante la investigación, los especialistas detectaron varios sistemas comprometidos en el sector público indio, incluidas máquinas relacionadas con altos cargos administrativos. La actividad se observó del 12 al 22 de junio de 2026. Acronis entregó indicadores, datos sobre la infraestructura y detalles técnicos al grupo indio de respuesta a incidentes informáticos CERT-In para ayudar a notificar a las víctimas y remediar las infecciones.
A las organizaciones de los sectores público y energético se les recomienda revisar archivos comprimidos sospechosos con temas geopolíticos, buscar rastros de persistencia en la rama HKCU\Software\Microsoft\Windows\CurrentVersion\Run, la tarea SolidPDFPcl2Bmp, los directorios C:\ProgramData\IDM\logs\ y %LOCALAPPDATA%\Microsoft\VaultCache, así como las conexiones a Zoho WorkDrive y a accounts.zoho.com desde procesos que no sean navegadores.