Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кинеската хакерска група Mustang Panda распоредува крадци на информации преку backdoor-от CoolClient

Објавено: 28.01.2026

Кинеската шпионска заканувачка група Mustang Panda го ажурираше својот CoolClient backdoor во нова варијанта која може да краде податоци за најава од прелистувачи и да го надгледува clipboard-от.

Според истражувачите од Kaspersky, малициозниот софтвер бил користен и за распоредување на досега невиден rootkit. Сепак, техничка анализа ќе биде објавена во идниот извештај.

CoolClient е поврзан со Mustang Panda уште од 2022 година и се користи како секундарен backdoor заедно со PlugX и LuminousMoth. Ажурираната верзија на малициозниот софтвер е забележана во напади насочени кон владини институции во Мјанмар, Монголија, Малезија, Русија и Пакистан, при што била распоредена преку легитимен софтвер од Sangfor, кинеска компанија специјализирана за сајбер-безбедност, cloud computing и ИТ инфраструктурни производи.

Претходно, операторите на CoolClient го активирале малициозниот софтвер преку DLL side-loading, злоупотребувајќи потпишани бинарни датотеки од Bitdefender, VLC Media Player и Ulead PhotoImpact.

Истражувачите од Kaspersky наведуваат дека CoolClient backdoor-от собира детали за компромитираниот систем и неговите корисници, како што се името на компјутерот, верзијата на оперативниот систем, количината на RAM меморија, мрежни информации, како и описите и верзиите на вчитаните драјвер модули.

CoolClient користи енкриптирани .DAT датотеки во повеќефазна извршна шема и обезбедува перзистентност преку модификации во Registry, додавање нови Windows сервиси и закажани задачи. Исто така поддржува заобиколување на UAC и ескалација на привилегии.

Извршниот тек на CoolClient

Основните функции на CoolClient се интегрирани во DLL вградена во датотека наречена main.dat. „Кога се стартува, прво проверува дали се овозможени keylogger-от, крадецот на clipboard и sniffer-от за акредитиви од HTTP proxy,“ наведуваат истражувачите.

Нови можности на CoolClient

Основните функции на малициозниот софтвер, вклучувајќи профилирање на системот и корисникот, операции со датотеки, keylogging, TCP тунелирање, reverse-proxy функционалност и извршување динамички преземени приклучоци во меморија, се присутни и во старите и во новите верзии, но се доусовршени во најновите варијанти.

Она што е целосно ново во најновиот CoolClient е модул за следење на clipboard-от, можност за активно следење на насловите на активните прозорци и sniffer за акредитиви од HTTP proxy кој се потпира на инспекција на сурови пакети и извлекување на заглавија.

Дополнително, екосистемот на приклучоци е проширен со наменски приклучок за далечинска школка (remote shell), приклучок за управување со сервиси и понапреден приклучок за управување со датотеки.

Приклучокот за управување со сервиси им овозможува на операторите да ги набројуваат, креираат, стартуваат, запираат, бришат и да ја менуваат конфигурацијата за стартување на Windows сервиси, додека приклучокот за управување со датотеки обезбедува проширени операции со датотеки, вклучувајќи набројување на дискови, пребарување датотеки, ZIP компресија, мапирање мрежни дискови и извршување датотеки.

Функционалноста за далечинска школка е имплементирана преку посебен приклучок кој стартува скриен cmd.exe процес и ги пренасочува неговиот стандарден влез и излез преку pipes, овозможувајќи интерактивно извршување команди преку командно-контролниот (C2) канал.

Новина во работењето на CoolClient е и распоредувањето на infostealers за собирање податоци за најава од прелистувачи. Kaspersky документираше три различни фамилии насочени кон Chrome (варијанта A), Edge (варијанта B) и пофлексибилна варијанта C која таргетира било кој прелистувач базиран на Chromium.

Функција што ги копира податоците за најавување од прелистувачот во привремена локална датотека.

Друга значајна оперативна промена е тоа што кражбата на податоци од прелистувачи и ексфилтрацијата на документи сега користат вградени (hardcoded) API-токени за легитимни јавни сервиси како Google Drive или Pixeldrain, со цел да се избегне детекција. Mustang Panda продолжува да го унапредува својот сет на алатки и оперативни карактеристики. Минатиот месец, Kaspersky извести за нов kernel-mode loader кој распоредуваше варијанта на backdoor-от ToneShell на владини системи.

Претходно овој месец, Националното биро за безбедност на Тајван го рангираше Mustang Panda меѓу најпродуктивните и најмасовните закани што ја таргетираат критичната инфраструктура на земјата.

Извори:

  • Bleeping Computer – Chinese Mustang Panda hackers deploy infostealers via CoolClient backdoor Bleeping Computer