Des acteurs menaçants ayant des liens avec la Chine ont été observés en train d'utiliser une version mise à jour d'une porte dérobée appelée COOLCLIENT lors d'attaques de cyberespionnage en 2025 pour faciliter le vol complet de données sur les points finaux infectés.
L'activité a été attribuée à panda mustang (également connu sous le nom de Earth Preta, Fireant, HoneyMyte, Polaris et Twill Typhoon) avec des intrusions ciblant principalement les entités gouvernementales situées dans le cadre de campagnes au Myanmar, en Mongolie, en Malaisie et en Russie.
Kaspersky, qui a révélé les détails du malware mis à jour, a déclaré qu'il était déployé comme porte dérobée secondaire aux côtés des infections PlugX et LuminousMoth.
“COOLCLIENT était généralement livré avec des fichiers de charge utile cryptés contenant des données de configuration cryptées, du shellcode et des modules DLL de prochaine étape en mémoire”, a déclaré la société russe de cybersécurité. “Ces modules reposaient sur le chargement latéral de DLL comme méthode d'exécution principale, ce qui nécessitait un exécutable signé légitime pour charger une DLL malveillante.”
Entre 2021 et 2025, Mustang Panda aurait exploité à cette fin les binaires signés de divers produits logiciels, notamment Bitdefender (« qutppy.exe »), VLC Media Player (« vlc.exe » renommé « googleupdate.exe »), Ulead PhotoImpact (« olreg.exe ») et Sangfor (« sang.exe »).
Il a été constaté que les campagnes observées en 2024 et 2025 abusaient de logiciels légitimes développés par Sangfor, et une de ces vagues ciblant le Pakistan et le Myanmar l'a utilisé pour fournir une variante de COOLCLIENT qui place et exécute un rootkit inédit.
Sophos a documenté COOLCLIENT pour la première fois en novembre 2022 dans un rapport détaillant l'utilisation généralisée du chargement latéral de DLL par les groupes APT basés en Chine. Une analyse ultérieure réalisée par Trend Micro a officiellement attribué la porte dérobée au Mustang Panda et a mis en évidence sa capacité à lire/supprimer des fichiers, ainsi qu'à surveiller le presse-papiers et les fenêtres actives.
Le malware a également été utilisé dans des attaques ciblant plusieurs opérateurs de télécommunications dans un seul pays asiatique dans le cadre d'une campagne d'espionnage de longue durée qui pourrait avoir commencé en 2021, ont révélé l'équipe Symantec et Carbon Black Threat Hunter de Broadcom en juin 2024.
COOLCLIENT est conçu pour collecter des informations sur le système et l'utilisateur telles que les frappes au clavier, le contenu du presse-papiers, les fichiers et les informations d'identification du proxy HTTP à partir des paquets de trafic HTTP de l'hôte en fonction des instructions envoyées depuis un serveur de commande et de contrôle (C2) via TCP. Vous pouvez également configurer un tunnel inverse ou un proxy et recevoir et exécuter des plugins supplémentaires en mémoire.
Certains des plugins pris en charge sont répertoriés ci-dessous :
- ServiceMgrS.dll, un plugin de gestion de services pour surveiller tous les services sur l'hôte victime
- FileMgrS.dll, un plugin de gestion de fichiers pour lister, créer, déplacer, lire, compresser, rechercher ou supprimer des fichiers et dossiers
- RemoteShellS.dll, un plugin shell distant qui génère un processus “cmd.exe” pour permettre à l'opérateur d'émettre des commandes et de capturer la sortie résultante
Mustang Panda a également été observé en train de déployer trois programmes de vol différents pour extraire les informations de connexion enregistrées à partir de Google Chrome, Microsoft Edge et d'autres navigateurs basés sur Chromium. Dans au moins un cas, l'adversaire a exécuté une commande cURL pour divulguer le fichier cookie du navigateur Mozilla Firefox (« cookies.sqlite ») vers Google Drive.
Ces voleurs, détectés lors d'attaques contre le secteur gouvernemental au Myanmar, en Malaisie et en Thaïlande, sont soupçonnés d'être utilisés dans le cadre d'efforts post-exploitation plus larges.
De plus, les attaques se caractérisent par l'utilisation d'un malware bien connu appelé TONESHELL (également connu sous le nom de TOnePipeShell), qui a été utilisé avec différents niveaux de capacités pour établir la persistance et supprimer des charges utiles supplémentaires telles que QReverse, un cheval de Troie d'accès à distance avec shell distant, fonctions de gestion de fichiers, de capture d'écran et de collecte d'informations, et un ver USB nommé TONEDISK.
L'analyse de Kaspersky du voleur d'identifiants de navigateur a également révélé des similitudes au niveau du code avec un voleur de cookies utilisé par LuminousMoth, suggérant un certain niveau de partage d'outils entre les deux groupes. En plus de cela, Mustang Panda a été identifié pour utiliser des scripts batch et PowerShell pour collecter des informations système, effectuer des activités de vol de documents et voler les données de connexion du navigateur.
“Avec des fonctionnalités telles que l'enregistrement au clavier, la surveillance du presse-papiers, le vol d'identifiants proxy, l'exfiltration de documents, la collecte d'identifiants de navigateur et le vol de fichiers à grande échelle, les campagnes de HoneyMyte semblent aller bien au-delà des cibles d'espionnage traditionnelles comme le vol de documents et la persistance”, a déclaré la société.
“Ces outils indiquent une évolution vers une surveillance active de l'activité des utilisateurs qui inclut la capture des frappes au clavier, la collecte des données du presse-papiers et la collecte des informations d'identification du proxy.”
