Aumenta el riesgo de ciberespionaje con la nueva puerta trasera COOLCLIENT
Publicado el
Mustang Panda y la puerta trasera COOLCLIENT
Un grupo de amenaza cibernética vinculado a China, conocido como Mustang Panda, ha comenzado a utilizar una versión actualizada de la puerta trasera llamada COOLCLIENT en sus ataques de ciberespionaje. Este malware se ha implementado principalmente en campañas dirigidas a organismos gubernamentales en países como Myanmar, Mongolia, Malasia y Rusia, facilitando el robo de datos de puntos finales infectados.
Según un informe de Kaspersky, el malware se despliega junto a otras infecciones como PlugX y LuminousMoth, funcionando como una puerta trasera secundaria. Kaspersky ha destacado que COOLCLIENT se entrega generalmente junto a archivos cargadores cifrados que contienen datos de configuración también cifrados, código shell y módulos DLL de siguiente etapa, ejecutándose a través de un método de DLL side-loading que requiere un ejecutable legítimo para cargar un DLL malicioso.
Entre 2021 y 2025, Mustang Panda ha utilizado binarios firmados de diversos productos de software, incluyendo Bitdefender y VLC Media Player, para sus ataques. En campañas observadas en 2024 y 2025, se ha documentado el uso de software legítimo desarrollado por Sangfor, donde se entregó una variante de COOLCLIENT capaz de implementar un rootkit inédito.
COOLCLIENT fue identificado por primera vez por Sophos en noviembre de 2022, y un análisis posterior de Trend Micro atribuyó oficialmente la puerta trasera a Mustang Panda. Se ha documentado que este malware tiene capacidades para leer y eliminar archivos, así como para monitorizar el portapapeles y las ventanas activas.
### Funciones del malware
Entre las capacidades de COOLCLIENT se encuentra la recolección de información del sistema y del usuario, incluyendo pulsaciones de teclas, contenidos del portapapeles, archivos y credenciales de proxy HTTP. Este malware puede establecer un túnel inverso o proxy, y recibir y ejecutar plugins adicionales en memoria. Algunos de estos plugins incluyen:
- ServiceMgrS.dll: gestiona los servicios en el host víctima. - FileMgrS.dll: permite enumerar, crear, mover, leer, comprimir, buscar o eliminar archivos y carpetas. - RemoteShellS.dll: proporciona un shell remoto que permite al operador emitir comandos y capturar la salida resultante.
Mustang Panda también ha desplegado programas de robo de credenciales para extraer datos de inicio de sesión guardados en navegadores como Google Chrome y Microsoft Edge. En al menos un caso, el adversario utilizó un comando cURL para exfiltrar el archivo de cookies de Mozilla Firefox a Google Drive. Estos stealer han sido detectados en ataques contra el sector gubernamental en Myanmar, Malasia y Tailandia, y se sospecha que son parte de esfuerzos más amplios de post-explotación.
### Campañas de ciberespionaje
Los ataques realizados por Mustang Panda también han utilizado un malware conocido como TONESHELL, que ha sido empleado para establecer persistencia y entregar cargas adicionales como QReverse, un troyano de acceso remoto, y un gusano USB denominado TONEDISK. La investigación de Kaspersky ha revelado similitudes de código entre el stealer de credenciales del navegador y un stealer utilizado por LuminousMoth, lo que sugiere un posible intercambio de herramientas entre ambos grupos.
Además, Mustang Panda ha sido identificado utilizando scripts en batch y PowerShell para recopilar información del sistema, llevar a cabo actividades de robo de documentos y sustraer datos de inicio de sesión de navegadores. Las capacidades de este malware, que incluyen keylogging, monitoreo del portapapeles, robo de credenciales de proxy y exfiltración de documentos, evidencian un cambio hacia la vigilancia activa de la actividad del usuario, más allá de los objetivos de espionaje tradicionales.
Las campañas de Mustang Panda representan un riesgo significativo para la seguridad de los gobiernos y organizaciones, destacando la necesidad de una mayor concienciación y medidas de protección contra estas sofisticadas amenazas.