Kelompok spionase siber asal Tiongkok Mustang Panda kembali memperbarui arsenal malware mereka. Peneliti keamanan dari Kaspersky mengungkap bahwa grup ini meluncurkan varian terbaru backdoor CoolClient yang kini mampu mencuri kredensial login dari browser serta memantau isi clipboard korban.
CoolClient telah dikaitkan dengan Mustang Panda sejak 2022 dan umumnya digunakan sebagai backdoor sekunder bersama malware lain seperti PlugX dan LuminousMoth. Dalam kampanye terbaru, versi CoolClient yang diperbarui terpantau digunakan untuk menargetkan entitas pemerintahan di Myanmar, Mongolia, Malaysia, Rusia, dan Pakistan.
Penyebaran Lewat Software Sah
Menariknya, malware ini disebarkan melalui perangkat lunak resmi milik Sangfor, perusahaan Tiongkok yang bergerak di bidang keamanan siber, komputasi awan, dan infrastruktur TI. Pada operasi sebelumnya, Mustang Panda dikenal meluncurkan CoolClient melalui teknik DLL side-loading, dengan memanfaatkan binary bertanda tangan sah dari aplikasi populer.
Pendekatan ini membuat aktivitas berbahaya lebih sulit dideteksi karena terlihat seperti proses normal dari software legal.
Mekanisme Kerja CoolClient
CoolClient bekerja secara bertahap dengan memanfaatkan file .DAT terenkripsi. Persistensi dicapai melalui berbagai metode, termasuk:
- Modifikasi Registry Windows
- Pembuatan service baru
- Penjadwalan task otomatis
Backdoor ini juga mendukung bypass UAC dan eskalasi hak akses, sehingga memberi kendali lebih luas kepada operator.
Saat dijalankan, modul inti CoolClient akan mengumpulkan informasi detail sistem korban, seperti nama komputer, versi sistem operasi, kapasitas RAM, konfigurasi jaringan, hingga daftar driver yang aktif. Seluruh fungsi utama diintegrasikan dalam sebuah DLL yang dimuat dari file main.dat.
Fitur Baru yang Lebih Agresif
Varian terbaru CoolClient membawa sejumlah kemampuan baru yang signifikan. Selain fitur lama seperti keylogging, manajemen file, tunneling TCP, dan eksekusi plugin di memori, kini malware ini juga memiliki:
- Pemantauan clipboard untuk menangkap data sensitif yang disalin pengguna
- Pelacakan judul jendela aktif
- Sniffing kredensial proxy HTTP melalui inspeksi paket mentah
Ekosistem plug-in CoolClient juga diperluas dengan modul shell jarak jauh, manajemen service Windows, serta pengelolaan file yang lebih canggih, termasuk kompresi ZIP dan pemetaan drive jaringan.
Infostealer dan Teknik Pengelabuan Baru
Salah satu perubahan paling penting adalah kemampuan menyebarkan infostealer khusus browser. Kaspersky mengidentifikasi tiga varian berbeda:
- Varian untuk Google Chrome
- Varian untuk Microsoft Edge
- Varian universal untuk browser berbasis Chromium
Untuk menghindari deteksi, pencurian data browser dan dokumen kini dilakukan dengan memanfaatkan API token hardcoded milik layanan publik sah seperti Google Drive dan Pixeldrain sebagai media eksfiltrasi data.
Ancaman yang Terus Berkembang
Kaspersky menilai Mustang Panda terus menunjukkan evolusi cepat dalam taktik dan perangkat mereka. Dalam beberapa bulan terakhir, grup ini juga dikaitkan dengan penggunaan loader kernel-mode dan backdoor lain yang menargetkan sistem pemerintahan.
Peningkatan kemampuan CoolClient ini menegaskan bahwa Mustang Panda masih menjadi salah satu aktor ancaman paling aktif dan berbahaya, khususnya bagi lembaga pemerintah dan infrastruktur kritis di kawasan Asia dan sekitarnya.