Die chinesische Bedrohungsfamilie namens Mustang Panda hat ihren Arsenal wiederaufgenommen: Kaspersky-Forscher haben eine neue Backdoor-Variante identifiziert, die als CoolClient bekannt ist, die Funktionen enthält, um Anmeldeinformationen zu stehlen, die in Browsern gespeichert sind und die Clipboard-Inhalte überwachen. Es ist eine signifikante Entwicklung des Implantats. und sein Aussehen bestätigt, dass die Gruppe weiterhin seine technischen Fähigkeiten und seine Betriebsmethoden verfeinert.
Nach der von Kaspersky veröffentlichten vorläufigen Analyse wurde diese erweiterte Version von CoolClient bereits in Kampagnen gegen Regierungsbehörden in mehreren Ländern gesehen, und zu diesem Zeitpunkt waren die Angreifer auf die Verteilung durch legitime Software von der chinesischen Firma Sangfor. Die Technik der Verwendung von echten Anwendungen als Liefervektor ermöglicht es den Betreibern, ihren Umfang weniger wahrscheinlich von konventionellen Kontrollen erkannt werden; es kann in der Lieferkette oder engagierte Installateure, die bösartige Komponenten enthalten sein. Sie können Kasperskys Bericht für mehr Kontext in Ihrer ersten Analyse konsultieren: Kaspersky Securelist und das betreffende Unternehmen öffentlich als Sangfor.
CoolClient ist im Mustang Panda-Katalog nicht neu: seit 2022 war es als sekundäre Hintertür beobachtet worden, die zusammen mit anderen Werkzeugen der Gruppe wie PlugX und LuminousMoth arbeitet. Die Malware-Architektur bleibt modular und mehrstufig und basiert auf verschlüsselten Dateien (.DAT), die Komponenten nach Bedarf laden. Diese Phasenausführung und ihr Plugin-Ökosystem Sie ermöglichen es Ihnen, von der grundlegenden Systemerkennung bis zur Ausführung im Speicher zusätzlicher Module durchzuführen, ohne dass Geräte einfach auf dem Datenträger nachverfolgbar sind.
Die klassischen Fähigkeiten, die in den letzten Varianten bestehen, umfassen die Sammlung von Geräteinformationen (Computername, OS-Version, Speicher, geladene Module), Dateioperationen, Keylogging, TCP-Tunnel und Reverse Proxy-Funktionen. Um im System zu bleiben, verwendet CoolClient persistent durch das Ändern des Registers, die Erstellung von Windows-Diensten und programmierten Aufgaben, sowie Techniken, um UAC zu umgehen und Privilegien zu skalieren, wenn erforderlich. Diese Funktionen machen Entsorgung und Eindämmung komplexer, wenn nicht bald erkannt.
Was in der letzten Charge von Mustern hervorhebt, ist die Aufnahme von Modulen, die auf Browser-Information Diebstahl - mit separaten Familien zeigen auf Chrome, Edge und andere Chrom-basierte Browser - und eine bestimmte Komponente, die die Clipboard überwacht. Hinzu kam die Möglichkeit, den Titel des aktiven Fensters und einen "Sniffer" von HTTP-Proxy-Berechtigungen zu verfolgen, die durch Analyse von Paketen und Roh-Headern funktionieren. Das klare Ziel ist es, sensibles Material, das Benutzer eingeben oder kopieren, von Anmeldeinformationen zu Dokumenten zu erfassen..
Neben den Browser-Infostealern wurde die Plugin-Plattform mit Funktionen bereichert, die es Ihnen ermöglichen, interaktive Remote Shells zu öffnen, Windows-Dienste zu verwalten und erweiterte Dateioperationen durchzuführen (Suche, ZIP-Kompression, Netzwerk-Unit-Mapping und Remote-Ausführung). Die Remote Shell erzeugt beispielsweise einen versteckten cmd.exe-Prozess und leitet die Eingabe und Ausgabe über den Befehls- und Steuerkanal um, was die manuelle Ausführung von Aufträgen durch den Angreifer ohne direkte Interaktion mit der Benutzeroberfläche erleichtert. Das macht CoolClient zu einem vielseitigen Zugriffs- und Ausbeutungstool und nicht zu einem einfachen Datendieb..
Eine weitere relevante operative Änderung ist die Art der Exfiltration: Betreiber verwenden eingebettete Tokens API, die auf legitime öffentliche Dienste wie Google Drive oder Datei-Hosting-Dienste, um gestohlene Daten außerhalb des kompromittierten Netzwerks zu bewegen. Die Nutzung öffentlicher Plattformen mit offensichtlich gültigem Verkehr ist eine bekannte Technik, um Alarmsignale zu verdünnen und die Korrelation von schädlichen Aktivität in Erkennungssystemen zu komplizieren.
Die Forscher weisen auch darauf hin, dass CoolClient als Vektor verwendet wurde, um ein Rootkit zu implementieren, das nie zuvor in kompromittierten Umgebungen beobachtet wurde, obwohl die detaillierte technische Beschreibung dieser Komponente für einen späteren Bericht bleibt. Die Einführung von Code im Kernel-Modus erhöht die Kapazität für Beharrlichkeit und Versteck und stellt eine ernsthafte Herausforderung für die vollständige Erholung der betroffenen Umwelt dar.
Für Verteidiger und Verwalter ist die Schlussfolgerung klar: Die Überwachung muss erhöht werden. Überprüfen Sie die Integrität der Installateure und Software-Updates, validieren Sie Signaturen und Ursprunge, und segmentieren Sie die Umgebungen, in denen sensible Software eingesetzt wird, sind Maßnahmen, die helfen, die Angriffsfläche zu reduzieren. Die Überwachung der Änderungen im Register, die Schaffung unerwarteter Dienste und geplanter Aufgaben sowie der ausgehende Verkehr zu Cloud-Speicherdiensten können frühzeitige Anzeichen für das Engagement bieten. Auf Benutzerebene sind der Schutz von Anmeldeinformationen mit Passwort-Managern, die die Datenbank verschlüsselt und die Annahme von Multifaktor-Authentifizierung sind zusätzliche Hindernisse für den Missbrauch gestohlener Anmeldeinformationen. Früherkennung ist von entscheidender Bedeutung, um zu verhindern, dass der erste Zugriff zu einem anhaltenden Eindringen führt.
Die in dieser Kampagne beobachtete Aktivität - mit Regierungszielen in Ländern wie Myanmar, der Mongolei, Malaysia, Russland und Pakistan nach Kaspersky - bestätigt, dass Mustang Panda weiterhin eine Kombination technischer und operativer Techniken ausnutzt, um seine Spionagekapazität zu erhalten. In den letzten Monaten wurden andere neue Stücke, die der Gruppe zugeschrieben wurden, gemeldet, was einen anhaltenden Aufwand zur Aufrechterhaltung und Erweiterung ihres Toolkits nahelegt.
Weitere Einzelheiten zu technischen Erkenntnissen und spezifischen Verpflichtungsindikatoren siehe Kasperskys vorläufige Analyse in seiner Veröffentlichung: Kaspersky Securelist. Und wenn Ihre Organisation Software von internationalen Lieferanten von Drittanbietern verwendet, ist es angebracht, Integrationen und Aktualisierungen insbesondere im Detail zu prüfen, einschließlich Lieferanten wie Sangfor die in der Forschung als Vektor in diesen Kampagnen genannt wird.
Kurz gesagt, das Update von CoolClient ist ein weiteres Zeichen, dass persistente Spionagegruppen in die Erweiterung ihrer Sammlung und Stealth-Funktionen investieren. Die Kombination von Infostealern, Clipboard Monitoring, Proxy-Sniffer und Kernel-Modulen stellt eine fortschrittliche Bedrohung dar die Sicherheitsteams zwingt, nicht nur die Erkennung von klassischen Malware zu überprüfen, sondern auch Software-Management-Praktiken, Netzwerk-Telemetrie und Abwehrmaßnahmen zum Schutz von Anmeldeinformationen und sensiblen Daten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...