O grupo de espionagem Mustang Panda, vinculado à China, atualizou sua backdoor CoolClient, que agora possui novas funcionalidades, como roubo de dados de login de navegadores e monitoramento da área de transferência. Pesquisadores da Kaspersky identificaram que a nova variante do malware foi usada em ataques direcionados a entidades governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão, sendo implantada através de softwares legítimos da empresa chinesa Sangfor. A CoolClient, que opera desde 2022, é utilizada como uma backdoor secundária em conjunto com outras ferramentas como PlugX e LuminousMoth. A nova versão do malware apresenta um módulo de monitoramento da área de transferência, rastreamento de títulos de janelas ativas e coleta de credenciais de proxy HTTP. Além disso, a CoolClient agora pode implantar infostealers para coletar dados de login de navegadores, utilizando tokens de API de serviços legítimos para evitar detecções. A evolução das capacidades do Mustang Panda destaca a necessidade de atenção redobrada por parte das equipes de segurança, especialmente em um cenário onde a infraestrutura crítica pode ser alvo de ataques.
Fonte: https://www.bleepingcomputer.com/news/security/chinese-mustang-panda-hackers-deploy-infostealers-via-coolclient-backdoor/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
28/01/2026 • Risco: ALTO
MALWARE
Grupo de espionagem chinês atualiza backdoor CoolClient
RESUMO EXECUTIVO
A atualização do CoolClient pelo grupo Mustang Panda representa uma ameaça significativa, especialmente para entidades governamentais e setores críticos. O uso de técnicas avançadas para roubo de dados e a capacidade de evitar detecções exigem que as organizações adotem medidas proativas para proteger suas infraestruturas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Roubo de dados de login e monitoramento de informações sensíveis.
Setores vulneráveis
['Governo', 'Tecnologia da Informação', 'Infraestrutura Crítica']
📊 INDICADORES CHAVE
Alvos em cinco países diferentes.
Indicador
Uso de três variantes de infostealers para navegadores.
Contexto BR
Implantação de um rootkit inédito.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar sistemas para identificar a presença do CoolClient e outras backdoors.
2
Implementar controles de segurança adicionais e monitoramento de tráfego de rede.
3
Monitorar continuamente atividades suspeitas e tentativas de acesso não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das ameaças cibernéticas que podem comprometer a segurança de dados sensíveis e a integridade das operações governamentais e corporativas.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
