Các tác nhân đe dọa có liên hệ với Trung Quốc đã bị phát hiện sử dụng phiên bản cập nhật của một backdoor có tên COOLCLIENT trong các cuộc tấn công gián điệp mạng vào năm 2025 để tạo điều kiện đánh cắp dữ liệu toàn diện từ các điểm cuối bị nhiễm.
Hoạt động này đã được gán cho Mustang Panda (còn được gọi là Earth Preta, Fireant, HoneyMyte, Polaris, và Twill Typhoon) với các cuộc xâm nhập chủ yếu nhắm vào các thực thể chính phủ trên khắp Myanmar, Mông Cổ, Malaysia và Nga.
Kaspersky, đơn vị đã tiết lộ chi tiết về phần mềm độc hại được cập nhật này, cho biết nó được triển khai dưới dạng một backdoor thứ cấp cùng với các lây nhiễm PlugX và LuminousMoth.
"COOLCLIENT thường được phân phối cùng với các tệp tải (loader) được mã hóa chứa dữ liệu cấu hình mã hóa, shellcode và các module DLL giai đoạn tiếp theo trong bộ nhớ," công ty an ninh mạng của Nga cho biết. "Các module này dựa vào DLL side-loading làm phương pháp thực thi chính của chúng, yêu cầu một tệp thực thi hợp pháp được ký để tải một DLL độc hại."
Lịch sử và Các Chiến dịch Tấn công
Từ năm 2021 đến 2025, Mustang Panda được cho là đã lợi dụng các tệp nhị phân được ký từ nhiều sản phẩm phần mềm khác nhau, bao gồm Bitdefender ("qutppy.exe"), VLC Media Player ("vlc.exe" được đổi tên thành "googleupdate.exe"), Ulead PhotoImpact ("olreg.exe") và Sangfor ("sang.exe") cho mục đích này.
Các chiến dịch được quan sát vào năm 2024 và 2025 đã phát hiện ra việc lợi dụng phần mềm hợp pháp do Sangfor phát triển, với một đợt tấn công nhắm vào Pakistan và Myanmar sử dụng nó để phân phối một biến thể COOLCLIENT, sau đó thả và thực thi một rootkit chưa từng thấy trước đây.
COOLCLIENT lần đầu tiên được ghi nhận bởi Sophos vào tháng 11 năm 2022 trong một báo cáo chi tiết về việc sử dụng rộng rãi kỹ thuật DLL side-loading bởi các nhóm APT có trụ sở tại Trung Quốc. Một phân tích sau đó từ Trend Micro đã chính thức gán backdoor này cho Mustang Panda và nhấn mạnh khả năng đọc/xóa tệp, cũng như giám sát clipboard và các cửa sổ đang hoạt động.
Phần mềm độc hại này cũng đã được sử dụng trong các cuộc tấn công nhắm vào nhiều nhà khai thác viễn thông ở một quốc gia châu Á trong một chiến dịch gián điệp kéo dài có thể đã bắt đầu vào năm 2021, Broadcom's Symantec và Carbon Black Threat Hunter Team tiết lộ vào tháng 6 năm 2024.
Tính năng và Plugin của COOLCLIENT
COOLCLIENT được thiết kế để thu thập thông tin hệ thống và người dùng, chẳng hạn như keystrokes, nội dung clipboard, tệp và thông tin xác thực HTTP proxy từ các gói lưu lượng HTTP của máy chủ dựa trên các hướng dẫn được gửi từ máy chủ command-and-control (C2) qua TCP. Nó cũng có thể thiết lập một reverse tunnel hoặc proxy, và nhận cũng như thực thi các plugin bổ sung trong bộ nhớ.
Một số plugin được hỗ trợ được liệt kê dưới đây:
- ServiceMgrS.dll, một plugin quản lý dịch vụ để giám sát tất cả các dịch vụ trên máy chủ nạn nhân.
- FileMgrS.dll, một plugin quản lý tệp để liệt kê, tạo, di chuyển, đọc, nén, tìm kiếm hoặc xóa các tệp và thư mục.
- RemoteShellS.dll, một plugin remote shell tạo ra một tiến trình "cmd.exe" để cho phép người điều khiển ra lệnh và thu thập kết quả đầu ra.
Các Công cụ Khác và Mục tiêu Tấn công Mở rộng
Mustang Panda cũng được quan sát triển khai ba chương trình stealer khác nhau để trích xuất thông tin đăng nhập đã lưu từ Google Chrome, Microsoft Edge và các trình duyệt dựa trên Chromium khác. Trong ít nhất một trường hợp, tác nhân đe dọa đã chạy lệnh cURL để exfiltrate tệp cookie của trình duyệt Mozilla Firefox ("cookies.sqlite") lên Google Drive.
Các stealer này, được phát hiện trong các cuộc tấn công nhắm vào khu vực chính phủ ở Myanmar, Malaysia và Thái Lan, bị nghi ngờ được sử dụng như một phần của các nỗ lực post-exploitation rộng lớn hơn.
Hơn nữa, các cuộc tấn công còn được đặc trưng bởi việc sử dụng một phần mềm độc hại đã biết có tên TONESHELL (còn gọi là TOnePipeShell), đã được sử dụng với các mức độ khả năng khác nhau để thiết lập persistence và thả các payload bổ sung như QReverse, một remote access trojan với các tính năng remote shell, quản lý tệp, chụp ảnh màn hình và thu thập thông tin, cùng với một USB worm có tên mã TONEDISK.
Phân tích của Kaspersky về stealer thông tin đăng nhập trình duyệt cũng đã phát hiện ra những điểm tương đồng ở cấp độ mã với một cookie stealer được sử dụng bởi LuminousMoth, cho thấy một mức độ chia sẻ công cụ nào đó giữa hai nhóm. Ngoài ra, Mustang Panda đã được xác định là sử dụng các script batch và PowerShell để thu thập thông tin hệ thống, thực hiện các hoạt động đánh cắp tài liệu và đánh cắp dữ liệu đăng nhập trình duyệt.
"Với các khả năng như keylogging, giám sát clipboard, đánh cắp thông tin xác thực proxy, exfiltration tài liệu, thu thập thông tin đăng nhập trình duyệt và đánh cắp tệp quy mô lớn, các chiến dịch của HoneyMyte dường như vượt xa các mục tiêu gián điệp truyền thống như đánh cắp tài liệu và persistence."
"Các công cụ này cho thấy một sự chuyển dịch sang việc giám sát tích cực hoạt động của người dùng, bao gồm việc ghi lại keystrokes, thu thập dữ liệu clipboard và thu thập thông tin xác thực proxy."
