En el ataque de ciberespionaje de 2025, se observó que los actores de amenazas vinculados a China utilizaban la última versión de una puerta trasera llamada COOLCLIENT para facilitar el robo integral de datos de los puntos finales infectados.
La actividad se atribuyó a Mustang Panda (también conocido como Earth Preta, Fireant, HoneyMyte, Polaris y Twill Typhoon), y las intrusiones estuvieron dirigidas principalmente a agencias gubernamentales durante la campaña en Myanmar, Mongolia, Malasia y Rusia.
Al revelar detalles del malware actualizado, Kaspersky dijo que se está implementando como una puerta trasera secundaria junto con las infecciones PlugX y LuminousMoth.
«COOLCLIENT normalmente se entregaba con un archivo de carga cifrado que contenía datos de configuración cifrados, código shell y módulos DLL de siguiente etapa en la memoria», dijo la firma rusa de ciberseguridad. «Estos módulos dependían de la descarga de DLL como método de ejecución principal y requerían un ejecutable legítimo firmado para cargar la DLL maliciosa».
Entre 2021 y 2025, Mustang Panda supuestamente utilizó archivos binarios firmados de varios productos de software para este propósito, incluidos Bitdefender (“qutppy.exe”), VLC Media Player (rebautizado de “vlc.exe” a “googleupdate.exe”), Ulead PhotoImpact (“olreg.exe”) y Sangfor (“sang.exe”).
Se descubrió que las campañas observadas en 2024 y 2025 explotaban software legítimo desarrollado por Sangfor, incluidas campañas dirigidas a Pakistán y Myanmar, para ofrecer una variante de COOLCLIENT que lanzaba y ejecutaba un rootkit nunca antes visto.
Sophos documentó por primera vez COOLCLIENT en noviembre de 2022 en un informe que detalla el uso generalizado de la descarga de DLL por parte de un grupo APT con sede en China. Un análisis posterior de Trend Micro identificó oficialmente la puerta trasera como Mustang Panda, destacando sus capacidades de lectura/eliminación de archivos y capacidades de monitoreo de portapapeles y ventanas activas.
El malware también se utilizó en ataques dirigidos a múltiples operadores en un solo país asiático en una campaña de espionaje de larga duración que podría comenzar en 2021, reveló el equipo Symantec de Broadcom y Carbon Black Threat Hunters en junio de 2024.
COOLCLIENT está diseñado para recopilar información del sistema y del usuario, como pulsaciones de teclas, contenido del portapapeles, archivos y credenciales de proxy HTTP, de los paquetes de tráfico HTTP de un host según las instrucciones enviadas desde un servidor de comando y control (C2) a través de TCP. También puede configurar un túnel inverso o un proxy para recibir y ejecutar complementos adicionales en la memoria.
Algunos de los complementos compatibles se enumeran a continuación.
ServiceMgrS.dll, un complemento de administración de servicios que monitorea todos los servicios en el host de la víctima FileMgrS.dll, un complemento de administración de archivos que enumera, crea, mueve, lee, comprime, busca o elimina archivos y carpetas RemoteShellS.dll: un complemento de shell remoto que genera un proceso «cmd.exe» que permite a los operadores emitir comandos y capturar el resultado resultante
También se ha observado que Mustang Panda implementa tres programas ladrones diferentes para extraer las credenciales de inicio de sesión guardadas de Google Chrome, Microsoft Edge y otros navegadores basados en Chromium. En al menos un caso, el atacante ejecutó un comando cURL para filtrar un archivo de cookies del navegador Mozilla Firefox («cookies.sqlite») a Google Drive.
Estos ladrones fueron detectados en ataques a departamentos gubernamentales en Myanmar, Malasia y Tailandia, y se sospecha que fueron utilizados como parte de un esfuerzo más amplio posterior a la explotación.
Además, este ataque utiliza un conocido malware llamado TONESHELL (también conocido como TOnePipeShell). El malware se utiliza con distintos niveles de funcionalidad para establecer persistencia y eliminar cargas útiles adicionales, incluido QReverse, un troyano de acceso remoto con shell remoto, administración de archivos, captura de pantalla y capacidades de recopilación de información, y un gusano USB con nombre en código TONEDISK.
El análisis de Kaspersky Lab del ladrón de credenciales del navegador también reveló similitudes a nivel de código con el ladrón de cookies utilizado por LuminousMoth, lo que sugiere cierto grado de uso compartido de herramientas entre los dos grupos. Además, se ha observado que Mustang Panda utiliza secuencias de comandos por lotes y PowerShell para recopilar información del sistema, realizar operaciones de robo de documentos y robar datos de inicio de sesión del navegador.
«Con funciones como registro de teclas, monitoreo del portapapeles, robo de credenciales de proxy, fuga de documentos, recolección de credenciales de navegador y robo de archivos a gran escala, la campaña de HoneyMyte parece ir mucho más allá de los objetivos tradicionales de espionaje, como el robo de documentos y la persistencia», dijo la compañía.
«Estas herramientas marcan un cambio hacia el monitoreo activo de la actividad del usuario, incluida la captura de pulsaciones de teclas, la recopilación de datos del portapapeles y la recopilación de credenciales de proxy».
Source link
