Liminal Panda se centra principalmente en la recopilación de inteligencia, como lo demuestra el desarrollo de herramientas especializadas que emulan el sistema global de comunicaciones móviles. Estas herramientas permiten acceder a información de suscriptores móviles, metadatos de llamadas y mensajes de texto. Estas acciones sugieren que su objetivo es mantener un acceso prolongado y discreto en redes de telecomunicaciones críticas.
En 2021, CrowdStrike atribuyó intrusiones previamente relacionadas con el grupo LightBasin a Liminal Panda, tras una revisión exhaustiva de actividades en redes disputadas por varios actores maliciosos. El análisis concluyó que este grupo utiliza herramientas proxy públicas como parte de su infraestructura, reforzando su capacidad de operar sin ser detectado.
Liminal Panda emplea una combinación de malware personalizado y herramientas de acceso público, como Cobalt Strike, TinyShell y Fast Reverse Proxy, que facilitan el camuflaje de sus comunicaciones y operaciones dentro de redes comprometidas. Además, utiliza infraestructura de servidores VPS, proporcionada por servicios como Vultr, para ocultar la ubicación de sus actividades.
CrowdStrike ha vinculado las operaciones de Liminal Panda con actividades cibernéticas asociadas a China, basándose en factores como el uso de dominios en Pinyin, cadenas de claves específicas y la coincidencia de infraestructura con otros grupos chinos, como Sunrise Panda y Horde Panda. Una clave particular, wuxianpinggu507, traducida como evaluación inalámbrica, destaca su especialización en sistemas de telecomunicaciones.
CrowdStrike ha concluido que Liminal Panda representa una amenaza seria para el sector de las telecomunicaciones debido a su capacidad de comprometer redes críticas y extraer datos sensibles. Aunque su motivación parece centrarse en la recopilación de inteligencia, el impacto de sus operaciones subraya la necesidad de fortalecer las medidas de seguridad y mantener una vigilancia constante por parte de las entidades potencialmente afectadas.