Mustang Panda usa COOLCLIENT en campañas activas de ciberespionaje

Investigadores en ciberseguridad han identificado que actores amenazantes vinculados a China están utilizando una versión actualizada de la puerta trasera COOLCLIENT como parte de campañas de ciberespionaje en curso durante 2025. El objetivo principal de estas operaciones es facilitar el robo integral de datos desde puntos finales comprometidos, ampliando significativamente las capacidades tradicionales de espionaje digital.

La actividad ha sido atribuida al conocido grupo Mustang Panda, también rastreado bajo los nombres Earth Preta, Fireant, HoneyMyte, Polaris y Twill Typhoon. Según los hallazgos, las intrusiones se han dirigido principalmente contra entidades gubernamentales y organismos públicos en países como Myanmar, Mongolia, Malasia y Rusia, lo que refuerza el carácter geopolítico de estas campañas.

COOLCLIENT como parte de un ecosistema de malware más amplio

La empresa de ciberseguridad Kaspersky, que publicó un análisis técnico detallado del malware actualizado, indicó que COOLCLIENT se despliega como una puerta trasera secundaria, normalmente junto a infecciones de PlugX y LuminousMoth, dos familias de malware ampliamente asociadas con grupos APT chinos.

Según Kaspersky, COOLCLIENT se entrega habitualmente mediante archivos de cargador cifrados, que contienen datos de configuración protegidos, shellcode y módulos DLL de siguiente etapa cargados directamente en memoria. Este enfoque reduce la huella en disco y dificulta la detección por soluciones de seguridad tradicionales.

Un elemento clave del ataque es el uso sistemático de carga lateral de DLL (DLL sideloading) como método principal de ejecución. Para ello, los atacantes emplean ejecutables legítimos firmados digitalmente, que cargan de forma inadvertida bibliotecas DLL maliciosas.

Abuso de software legítimo firmado

Entre 2021 y 2025, Mustang Panda ha aprovechado binarios firmados de múltiples productos de software conocidos, incluyendo:

• Bitdefender (qutppy.exe)
• VLC Media Player (vlc.exe, renombrado como googleupdate.exe)
• Ulead PhotoImpact (olreg.exe)
• Sangfor (sang.exe)

Las campañas más recientes, observadas entre 2024 y 2025, muestran un abuso reiterado de software legítimo desarrollado por Sangfor. En una de estas oleadas, dirigida específicamente contra Pakistán y Myanmar, los atacantes distribuyeron una variante de COOLCLIENT capaz de cargar y ejecutar un rootkit previamente desconocido, elevando el nivel de sofisticación del ataque.

Evolución histórica de COOLCLIENT

COOLCLIENT fue documentado por primera vez en noviembre de 2022 por Sophos, en un informe que detallaba el uso generalizado de la carga lateral de DLL por parte de grupos APT con sede en China. Posteriormente, Trend Micro atribuyó formalmente la puerta trasera a Mustang Panda, destacando sus capacidades para leer y eliminar archivos, así como monitorizar el portapapeles y las ventanas activas.

En junio de 2024, Symantec y el Carbon Black Threat Hunter Team de Broadcom revelaron que COOLCLIENT también se utilizó en ataques prolongados contra múltiples operadores de telecomunicaciones en un país asiático, en una campaña de espionaje que podría haberse iniciado tan pronto como en 2021.

Capacidades avanzadas de espionaje y control

El diseño de COOLCLIENT está claramente orientado a la exfiltración masiva de información y al control persistente del sistema comprometido. El malware recopila información del sistema y del usuario, incluyendo:

• Pulsaciones de teclas (keylogging)
• Contenido del portapapeles
• Archivos locales
• Credenciales proxy HTTP, extraídas del tráfico de red del host

La comunicación con el servidor de comando y control (C2) se realiza a través de TCP, desde donde los operadores pueden enviar instrucciones específicas. COOLCLIENT también puede establecer túneles inversos o proxies, así como recibir y ejecutar plugins adicionales directamente en memoria, lo que amplía dinámicamente sus funcionalidades.

Entre los plugins observados se incluyen:

• ServiceMgrS.dll: gestión y supervisión de todos los servicios del sistema
• FileMgrS.dll: enumeración, creación, movimiento, lectura, compresión, búsqueda y eliminación de archivos y carpetas
• RemoteShellS.dll: shell remota que lanza cmd.exe y permite ejecutar comandos y capturar su salida

Robo de credenciales y post-explotación

Mustang Panda también ha sido observado desplegando múltiples programas especializados en el robo de credenciales almacenadas en Google Chrome, Microsoft Edge y otros navegadores basados en Chromium. En al menos un incidente documentado, el adversario ejecutó un comando cURL para exfiltrar el archivo cookies.sqlite de Mozilla Firefox directamente a Google Drive, una técnica discreta que aprovecha servicios legítimos para el robo de datos.

Estos ladrones de credenciales, detectados en ataques contra el sector público en Myanmar, Malasia y Tailandia, parecen formar parte de estrategias más amplias de post-explotación, destinadas a mantener acceso prolongado y ampliar el alcance del espionaje.

Uso combinado de TONESHELL y otras cargas

Las campañas también se caracterizan por el uso del malware TONESHELL (también conocido como TOnePipeShell), empleado para establecer persistencia y desplegar cargas adicionales como:

• QReverse, un troyano de acceso remoto con shell remota, gestión de archivos, capturas de pantalla y recopilación de información
• TONEDISK, un gusano USB diseñado para propagación lateral en entornos aislados

El análisis de Kaspersky reveló además similitudes de código entre el ladrón de cookies de COOLCLIENT y herramientas utilizadas por LuminousMoth, lo que sugiere compartición de recursos y colaboración técnica entre distintos clústeres de amenazas.

Un cambio hacia la vigilancia activa

Según Kaspersky, las campañas atribuidas a HoneyMyte / Mustang Panda representan una evolución clara del espionaje tradicional hacia modelos de vigilancia activa y continua.

"Con capacidades como keylogging, monitorización del portapapeles, robo de credenciales proxy y exfiltración masiva de archivos, estas campañas van mucho más allá del simple robo de documentos", concluyó la compañía. Este enfoque indica un interés creciente en observar el comportamiento de los usuarios en tiempo real, capturar credenciales sensibles y mantener una visibilidad persistente sobre los sistemas comprometidos.

En fin...

El uso avanzado de COOLCLIENT por parte de Mustang Panda confirma que los grupos APT vinculados a China continúan refinando sus tácticas, técnicas y procedimientos (TTP). La combinación de malware modular, abuso de software legítimo firmado y capacidades de vigilancia activa convierte estas campañas en una amenaza significativa para gobiernos, infraestructuras críticas y sectores estratégicos, subrayando la necesidad de detección avanzada, defensa en profundidad y monitoreo continuo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login