Los actores de amenazas vinculados a China han sido observados utilizando una versión actualizada de una puerta trasera llamada COOLCLIENT en ataques de ciberespionaje en 2025 para facilitar el robo completo de datos de endpoints infectados.
La actividad se ha atribuido a Mustang Panda (también conocido como Earth Preta, Fireant, HoneyMyte, Polaris y Twill Typhoon), con intrusiones dirigidas principalmente contra entidades gubernamentales en Myanmar, Mongolia, Malasia y Rusia.
Kaspersky, que reveló los detalles del malware actualizado, dijo que se despliega como una puerta trasera secundaria junto con infecciones de PlugX y LuminousMoth.
"COOLCLIENT se entregaba típicamente junto con archivos cargadores cifrados que contenían datos de configuración cifrados, shellcode y módulos DLL de siguiente etapa en memoria", dijo la empresa de ciberseguridad rusa. "Estos módulos dependían de la carga lateral de DLL como su método de ejecución principal, lo que requería un ejecutable firmado legítimo para cargar una DLL maliciosa".
Entre 2021 y 2025, se dice que Mustang Panda aprovechó binarios firmados de varios productos de software, incluyendo Bitdefender ("qutppy.exe"), VLC Media Player ("vlc.exe" renombrado como "googleupdate.exe"), Ulead PhotoImpact ("olreg.exe") y Sangfor ("sang.exe") para este propósito.
Se ha encontrado que campañas observadas en 2024 y 2025 abusan del software legítimo desarrollado por Sangfor, con una de esas oleadas dirigida a Pakistán y Myanmar utilizándolo para entregar una variante de COOLCLIENT que deja caer y ejecuta un rootkit previamente no visto.
COOLCLIENT fue documentado por primera vez por Sophos en noviembre de 2022 en un informe que detallaba el uso generalizado de la carga lateral de DLL por parte de grupos APT con base en China. Un análisis posterior de Trend Micro atribuyó oficialmente la puerta trasera a Mustang Panda y destacó su capacidad para leer/eliminar archivos, así como monitorear el portapapeles y las ventanas activas.
El malware también se ha utilizado en ataques dirigidos a múltiples operadores de telecomunicaciones en un solo país asiático en una campaña de espionaje de larga duración que podría haber comenzado en 2021, según revelaron Symantec de Broadcom y el Carbon Black Threat Hunter Team en junio de 2024.
COOLCLIENT está diseñado para recopilar información del sistema y del usuario, como pulsaciones de teclas, contenido del portapapeles, archivos y credenciales de proxy HTTP de los paquetes de tráfico HTTP del host según las instrucciones enviadas desde un servidor de comando y control (C2) a través de TCP. También puede establecer un túnel inverso o proxy, y recibir y ejecutar complementos adicionales en memoria.
Complementos compatibles
- ServiceMgrS.dll: un complemento de gestión de servicios para supervisar todos los servicios en el host víctima
- FileMgrS.dll: un complemento de gestión de archivos para enumerar, crear, mover, leer, comprimir, buscar o eliminar archivos y carpetas
- RemoteShellS.dll: un complemento de shell remoto que inicia un proceso "cmd.exe" para permitir al operador emitir comandos y capturar la salida resultante
Mustang Panda también ha sido observado implementando tres programas ladrones diferentes para extraer credenciales de inicio de sesión guardadas de Google Chrome, Microsoft Edge y otros navegadores basados en Chromium. En al menos un caso, el adversario ejecutó un comando cURL para exfiltrar el archivo de cookies del navegador Mozilla Firefox ("cookies.sqlite") a Google Drive.
Estos ladrones, detectados en ataques contra el sector gubernamental en Myanmar, Malasia y Tailandia, se sospecha que se utilizan como parte de esfuerzos más amplios de post-explotación.
Además, los ataques se caracterizan por el uso de un malware conocido llamado TONESHELL (también conocido como TOnePipeShell), que se ha empleado con niveles variables de capacidades para establecer persistencia y dejar caer cargas útiles adicionales como QReverse, un troyano de acceso remoto con shell remoto, gestión de archivos, captura de pantalla y funciones de recopilación de información, y un gusano USB con el nombre clave TONEDISK.
El análisis de Kaspersky sobre el ladrón de credenciales de navegador también ha descubierto similitudes a nivel de código con un ladrón de cookies utilizado por LuminousMoth, lo que sugiere cierto nivel de intercambio de herramientas entre los dos grupos. Además, se ha identificado que Mustang Panda utiliza scripts de batch y PowerShell para recopilar información del sistema, realizar actividades de robo de documentos y robar datos de inicio de sesión del navegador.
"Con capacidades como el registro de teclas, la monitorización del portapapeles, el robo de credenciales de proxy, la exfiltración de documentos, la recolección de credenciales de navegador y el robo de archivos a gran escala, las campañas de HoneyMyte parecen ir mucho más allá de los objetivos tradicionales de espionaje como el robo de documentos y la persistencia", dijo la compañía. "Estas herramientas indican un cambio hacia la vigilancia activa de la actividad del usuario que incluye la captura de pulsaciones de teclas, la recolección de datos del portapapeles y el robo de credenciales de proxy".
