La familia de amenazas vinculada a China conocida como Mustang Panda ha vuelto a actualizar su arsenal: los investigadores de Kaspersky han identificado una nueva variante del backdoor conocido como CoolClient que incorpora funcionalidades diseñadas para robar credenciales almacenadas en navegadores y supervisar el contenido del portapapeles. Es una evolución significativa del implante, y su aparición confirma que el grupo sigue afinando tanto sus capacidades técnicas como sus métodos operativos.
Según el análisis preliminar publicado por Kaspersky, esta versión ampliada de CoolClient ya se ha visto en campañas contra entidades gubernamentales en varios países, y en esta ocasión los atacantes recurrieron a la distribución a través de software legítimo provisto por la empresa china Sangfor. La técnica de usar aplicaciones genuinas como vector de entrega permite a los operadores escalar su alcance con menos probabilidades de ser detectados por controles convencionales; puede tratarse de manipulaciones en la cadena de suministro o de instaladores comprometidos que incluyen componentes maliciosos. Puedes consultar el informe de Kaspersky para más contexto en su análisis inicial: Kaspersky Securelist, y la compañía afectada se identifica públicamente como Sangfor.
CoolClient no es nuevo en el catálogo de Mustang Panda: desde 2022 se había observado como puerta trasera secundaria operando junto a otras herramientas del grupo, como PlugX y LuminousMoth. La arquitectura del malware sigue siendo modular y multi-etapa, apoyándose en archivos cifrados (.DAT) que cargan componentes según sea necesario. Esta ejecución en fases y su ecosistema de plugins le permiten realizar desde reconocimiento básico del sistema hasta la ejecución en memoria de módulos adicionales sin dejar artefactos fáciles de rastrear en disco.
Entre las capacidades clásicas que persisten en las variantes recientes figuran la recopilación de información del equipo (nombre del equipo, versión de SO, memoria, módulos cargados), operaciones de archivos, keylogging, túneles TCP y funciones de proxy inverso. Para mantenerse en el sistema, CoolClient emplea persistenica mediante cambios en el Registro, la creación de servicios de Windows y tareas programadas, además de técnicas para evadir UAC y escalar privilegios cuando es necesario. Estas funciones hacen que la eliminación y la contención sean más complejas si no se detectan pronto.
Lo que destaca en la última tanda de muestras es la inclusión de módulos enfocados en el robo de información de navegadores —con familias separadas que apuntan a Chrome, Edge y a otros navegadores basados en Chromium—, y un componente específico que monitoriza el portapapeles. También se añadió la capacidad de rastrear el título de la ventana activa y un “sniffer” de credenciales de proxy HTTP que opera analizando paquetes y cabeceras en bruto. El objetivo claro es capturar material sensible que los usuarios introducen o copian, desde credenciales hasta documentos.
Además de los infostealers de navegadores, la plataforma de plugins se ha enriquecido con funcionalidades que permiten abrir shells remotos interactivos, gestionar servicios de Windows y realizar operaciones avanzadas sobre ficheros (búsqueda, compresión ZIP, mapeo de unidades de red y ejecución remota). El shell remoto, por ejemplo, crea un proceso cmd.exe oculto y redirige entrada y salida a través del canal de comando y control, lo que facilita la ejecución manual de órdenes por parte del atacante sin interacción directa con la interfaz del usuario. Eso convierte a CoolClient en una herramienta de acceso y explotación versátil más que en un simple ladrón de datos.
Otro cambio operacional relevante es la forma de exfiltración: los operadores están utilizando tokens API embebidos que apuntan a servicios públicos legítimos, como Google Drive o servicios de alojamiento de ficheros, para mover datos robados fuera de la red comprometida. Emplear plataformas públicas con tráfico aparentemente válido es una técnica conocida para diluir señales de alarma y complicar la correlación de actividad maliciosa en los sistemas de detección.
Los investigadores también señalan indicios de que CoolClient ha sido utilizado como vector para desplegar un rootkit nunca antes observado en entornos comprometidos, aunque la descripción técnica detallada de ese componente quedará para un informe posterior. La introducción de código en modo kernel aumenta drásticamente la capacidad de persistencia y ocultamiento, y plantea un reto serio para la recuperación completa del entorno afectado.
Para defensores y administradores, la conclusión es clara: hay que elevar la vigilancia. Revisar la integridad de instaladores y actualizaciones de software, validar firmas y orígenes, y segmentar los entornos donde se despliega software sensible son medidas que ayudan a reducir la superficie de ataque. Monitorizar cambios en el Registro, la creación de servicios inesperados y tareas programadas, así como el tráfico saliente hacia servicios de almacenamiento en la nube, puede ofrecer señales tempranas de compromiso. En el plano de usuario, la protección de credenciales con gestores de contraseñas que cifren la base de datos y la adopción de autenticación multifactor son barreras adicionales contra el abuso de credenciales robadas. La detección temprana es decisiva para impedir que un acceso inicial se convierta en una intrusión persistente.
La actividad observada en esta campaña —con objetivos gubernamentales en países como Myanmar, Mongolia, Malasia, Rusia y Pakistán según Kaspersky— confirma que Mustang Panda continúa explotando una combinación de técnicas técnicas y operacionales para sostener su capacidad de espionaje. En los últimos meses ya se habían reportado otras piezas novedosas atribuidas al grupo, lo que sugiere un esfuerzo sostenido por mantener y ampliar su conjunto de herramientas.
Quienes deseen profundizar en los hallazgos técnicos y en indicadores de compromiso particulares pueden consultar el análisis preliminar de Kaspersky en su publicación: Kaspersky Securelist. Y si su organización utiliza software de terceros con origen en proveedores internacionales, conviene auditar integraciones y procesos de actualización con especial detalle, incluyendo a proveedores como Sangfor, que aparece mencionado en la investigación como vector empleado en estas campañas.
En resumen, la actualización de CoolClient es otra muestra de que los grupos persistentes de espionaje invierten en ampliar sus capacidades de recolección y sigilo. La combinación de infostealers, monitoreo del portapapeles, sniffers de proxy y módulos de kernel representa una amenaza avanzada que obliga a equipos de seguridad a revisar no solo la detección de malware clásico, sino también las prácticas de gestión de software, la telemetría de red y las defensas orientadas a proteger credenciales y datos sensibles.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...