La famille de la menace chinoise connue sous le nom de Mustang Panda a réactualisé son arsenal : Les chercheurs de Kaspersky ont identifié une nouvelle variante de porte arrière connue sous le nom de CoolClient qui intègre des fonctionnalités conçues pour voler des identifiants stockés dans les navigateurs et surveiller le contenu du presse-papiers. C'est une évolution significative de l'implant. et son apparence confirme que le groupe continue d'affiner ses capacités techniques et ses méthodes de fonctionnement.
Selon l'analyse préliminaire publiée par Kaspersky, cette version élargie de CoolClient a déjà été vue dans des campagnes contre des entités gouvernementales dans plusieurs pays, et à cette occasion les attaquants ont eu recours à la distribution par le biais de logiciels légitimes fournis par la société chinoise Sangfor. La technique d'utilisation des applications réelles comme vecteur de livraison permet aux opérateurs d'élargir leur portée moins susceptible d'être détectée par des contrôles conventionnels; il peut être manipulé dans la chaîne d'approvisionnement ou des installateurs engagés qui comprennent des composants malveillants. Vous pouvez consulter le rapport de Kaspersky pour plus de contexte dans votre analyse initiale : Kaspersky Securelist et la société concernée est identifiée publiquement comme Sangfor.
CoolClient n'est pas nouveau dans le catalogue Mustang Panda : depuis 2022 il avait été observé comme une porte arrière secondaire fonctionnant avec d'autres outils du groupe, tels que PlugX et LuminousMoth. L'architecture malware reste modulaire et multi-étape, en s'appuyant sur des fichiers chiffrés (.DAT) qui chargent les composants au besoin. Cette exécution de phase et son écosystème plugin Ils vous permettent d'effectuer de la reconnaissance système de base à l'exécution en mémoire de modules supplémentaires sans laisser les appareils faciles à tracer sur le disque.
Les fonctionnalités classiques qui persistent dans les variantes récentes comprennent la collecte d'informations sur l'équipement (nom de l'ordinateur, version OS, mémoire, modules chargés), les opérations de fichiers, le keylogging, les tunnels TCP et les fonctions de proxy inverse. Pour rester dans le système, CoolClient utilise des techniques persistantes en modifiant le Registre, en créant des services Windows et des tâches programmées, ainsi que des techniques pour échapper aux privilèges UAC et écheller au besoin. Ces fonctions rendent l'élimination et le confinement plus complexes si elles ne sont pas détectées rapidement.
Ce qui se distingue dans le dernier lot d'échantillons est l'inclusion de modules axés sur le vol d'information du navigateur - avec des familles distinctes pointant vers Chrome, Edge et autres navigateurs à base de chrome - et un composant spécifique qui surveille le presse-papiers. La possibilité de suivre le titre de la fenêtre active et un "sniffer" des identifiants mandataires HTTP fonctionne en analysant les paquets et les en-têtes bruts. L'objectif clair est de saisir les documents sensibles que les utilisateurs entrent ou copient, des lettres de créance aux documents.
En plus des infostealers du navigateur, la plateforme plugin a été enrichie de fonctionnalités qui vous permettent d'ouvrir des shells interactifs distants, de gérer les services Windows et d'effectuer des opérations de fichiers avancées (recherche, compression ZIP, cartographie d'unités réseau et exécution à distance). Le shell distant, par exemple, crée un processus caché cmd.exe et redirige l'entrée et la sortie par le canal de commande et de contrôle, ce qui facilite l'exécution manuelle des commandes par l'attaquant sans interaction directe avec l'interface utilisateur. Cela fait de CoolClient un outil d'accès et d'exploitation polyvalent plutôt qu'un simple voleur de données..
Un autre changement opérationnel pertinent est le mode d'exfiltration: les opérateurs utilisent l'API de jetons embarqués qui pointent vers des services publics légitimes, tels que Google Drive ou des services d'hébergement de fichiers, pour déplacer des données volées à l'extérieur du réseau compromis. L'utilisation de plates-formes publiques avec un trafic apparemment valide est une technique connue pour diluer les signaux d'alarme et compliquer la corrélation de l'activité malveillante dans les systèmes de détection.
Les chercheurs soulignent également que CoolClient a été utilisé comme vecteur pour déployer une rootkit jamais observée auparavant dans des environnements compromis, bien que la description technique détaillée de ce composant restera pour un rapport ultérieur. L'introduction du code en mode noyau augmente considérablement la capacité de persistance et de dissimulation et pose un sérieux défi pour le plein rétablissement de l'environnement affecté.
Pour les défenseurs et les administrateurs, la conclusion est claire : la surveillance doit être accrue. Examiner l'intégrité des installateurs et des mises à jour logicielles, valider les signatures et les origines, et segmenter les environnements où des logiciels sensibles sont déployés sont des mesures qui aident à réduire la surface d'attaque. La surveillance des changements dans le Registre, la création de services inattendus et les tâches planifiées, ainsi que le trafic sortant vers les services de stockage en nuage, peuvent fournir des signes précoces d'engagement. Au niveau des utilisateurs, la protection des justificatifs d'identité par des gestionnaires de mots de passe qui cryptaient la base de données et l'adoption de l'authentification multifactorielle constituent des obstacles supplémentaires à l'utilisation abusive des justificatifs d'identité volés. La détection précoce est essentielle pour empêcher que l'accès initial ne devienne une intrusion persistante..
L'activité observée dans cette campagne - avec des cibles gouvernementales dans des pays comme le Myanmar, la Mongolie, la Malaisie, la Russie et le Pakistan selon Kaspersky - confirme que Mustang Panda continue d'exploiter une combinaison de techniques techniques et opérationnelles pour maintenir sa capacité d'espionnage. Au cours des derniers mois, d'autres nouvelles pièces attribuées au groupe ont été signalées, suggérant un effort soutenu pour maintenir et élargir sa trousse.
Pour plus de détails sur les résultats techniques et les indicateurs d'engagement spécifiques, voir l'analyse préliminaire de Kaspersky dans sa publication: Kaspersky Securelist. Et si votre organisation utilise des logiciels tiers de fournisseurs internationaux, il convient de vérifier les processus d'intégration et de mise à jour en particulier, y compris les fournisseurs tels que Sangfor qui est mentionné dans la recherche comme un vecteur utilisé dans ces campagnes.
Bref, la mise à jour de CoolClient est un autre signe que les groupes d'espionnage persistants investissent dans l'expansion de leurs capacités de collecte et de furtivité. La combinaison d'infostealers, de monitoring de presse-papiers, de sniffers mandataires et de modules noyau représente une menace avancée qui oblige les équipes de sécurité à examiner non seulement la détection de logiciels malveillants classiques, mais aussi les pratiques de gestion de logiciels, la télémétrie de réseau et les défenses visant à protéger les références et les données sensibles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...