Mustang Panda

Um grupo de cibercriminosos com vínculos à China, conhecido como Mustang Panda, tem utilizado uma versão atualizada de um backdoor chamado COOLCLIENT em ataques de espionagem cibernética. Esses ataques, que ocorreram em 2025, visaram principalmente entidades governamentais em países como Mianmar, Mongólia, Malásia e Rússia, resultando em um roubo abrangente de dados de endpoints infectados. O malware é frequentemente implantado como um backdoor secundário, em conjunto com outras infecções como PlugX e LuminousMoth. O COOLCLIENT é entregue por meio de arquivos carregadores criptografados e utiliza técnicas de DLL side-loading, o que exige um executável legítimo para carregar a DLL maliciosa. O malware é capaz de coletar informações do sistema e do usuário, como pressionamentos de tecla, conteúdos da área de transferência e credenciais de proxy HTTP. Além disso, o grupo tem explorado softwares legítimos para facilitar suas operações, incluindo produtos da Sangfor. As campanhas de Mustang Panda também incluem o uso de programas de roubo de credenciais para navegadores populares, ampliando suas atividades de pós-exploração. Com capacidades que vão além da simples espionagem, como monitoramento ativo de usuários, os ataques representam uma ameaça significativa para a segurança cibernética.

O grupo de espionagem Mustang Panda, vinculado à China, atualizou sua backdoor CoolClient, que agora possui novas funcionalidades, como roubo de dados de login de navegadores e monitoramento da área de transferência. Pesquisadores da Kaspersky identificaram que a nova variante do malware foi usada em ataques direcionados a entidades governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão, sendo implantada através de softwares legítimos da empresa chinesa Sangfor. A CoolClient, que opera desde 2022, é utilizada como uma backdoor secundária em conjunto com outras ferramentas como PlugX e LuminousMoth. A nova versão do malware apresenta um módulo de monitoramento da área de transferência, rastreamento de títulos de janelas ativas e coleta de credenciais de proxy HTTP. Além disso, a CoolClient agora pode implantar infostealers para coletar dados de login de navegadores, utilizando tokens de API de serviços legítimos para evitar detecções. A evolução das capacidades do Mustang Panda destaca a necessidade de atenção redobrada por parte das equipes de segurança, especialmente em um cenário onde a infraestrutura crítica pode ser alvo de ataques.

Uma nova campanha de cibercriminosos está explorando a operação militar dos Estados Unidos para capturar Nicolás Maduro, presidente da Venezuela, como uma isca para distribuir malware. Especialistas em segurança cibernética identificaram que hackers, associados ao grupo Mustang Panda, estão utilizando táticas de spear phishing para atacar entidades políticas americanas. O malware, chamado LOTUSLITE, é um backdoor que se infiltra em dispositivos governamentais através de um arquivo ZIP malicioso intitulado ‘EUA decidem agora o que vem a seguir para a Venezuela.zip’.

Especialistas em segurança revelaram uma nova campanha de malware que visa entidades governamentais e políticas dos Estados Unidos, utilizando iscas temáticas relacionadas a desenvolvimentos geopolíticos entre os EUA e a Venezuela. O malware, conhecido como LOTUSLITE, é um backdoor que se infiltra em sistemas através de um arquivo ZIP malicioso intitulado ‘US now deciding what’s next for Venezuela.zip’, que contém uma DLL maliciosa lançada por técnicas de DLL side-loading. A atividade foi atribuída a um grupo patrocinado pelo Estado chinês, conhecido como Mustang Panda, que é reconhecido por utilizar extensivamente essas técnicas para implantar suas ferramentas. O LOTUSLITE, um implante em C++, se comunica com um servidor de comando e controle (C2) e permite atividades como execução remota de comandos e exfiltração de dados. Embora a campanha não tenha sido confirmada como bem-sucedida, ela destaca a eficácia de técnicas de phishing direcionado em um contexto geopolítico. A análise sugere que, apesar da falta de recursos avançados de evasão, a confiabilidade operacional do malware é uma preocupação significativa.

O grupo de hackers conhecido como Mustang Panda, vinculado à China, utilizou um driver de rootkit em modo kernel não documentado para implantar uma nova variante de backdoor chamada TONESHELL. Essa atividade foi detectada em meados de 2025, com foco em entidades governamentais na Ásia, especialmente em Myanmar e Tailândia. O driver malicioso, assinado com um certificado digital roubado, atua como um minifiltro, injetando o trojan TONESHELL nos processos do sistema e protegendo arquivos maliciosos e chaves de registro. O TONESHELL possui capacidades de shell reverso e downloader, permitindo que os atacantes baixem malware adicional em máquinas comprometidas. A infraestrutura de comando e controle (C2) foi estabelecida em setembro de 2024, e o ataque pode ter explorado máquinas previamente comprometidas. A detecção do shellcode injetado é crucial para identificar a presença do backdoor. A Kaspersky destacou que a evolução das operações do Mustang Panda mostra um uso crescente de injetores em modo kernel, aumentando a furtividade e a resiliência das suas atividades maliciosas.

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.

O grupo de ameaças cibernéticas alinhado à China, conhecido como Mustang Panda, foi identificado utilizando uma versão atualizada de um backdoor chamado TONESHELL e um novo worm USB, denominado SnakeDisk. Segundo pesquisadores da IBM X-Force, o SnakeDisk é projetado para ser executado apenas em dispositivos com endereços IP localizados na Tailândia, onde ele instala o backdoor Yokai. O TONESHELL, documentado pela primeira vez em 2022, é utilizado para baixar cargas úteis adicionais em sistemas infectados, frequentemente através de e-mails de spear-phishing. As variantes mais recentes, TONESHELL8 e TONESHELL9, introduzem comunicação com servidores de comando e controle (C2) através de proxies locais, dificultando a detecção. O SnakeDisk, por sua vez, propaga-se através de dispositivos USB, enganando usuários ao mover arquivos existentes para subdiretórios e renomeando o payload malicioso. A atividade do Mustang Panda, que remonta a pelo menos 2012, destaca a evolução contínua de suas táticas e ferramentas, com um foco particular na Tailândia, o que pode indicar um subgrupo especializado. A IBM X-Force alerta que o grupo mantém um ecossistema de malware robusto e em constante desenvolvimento.

O grupo de ameaças ligado à China, Mustang Panda, tem se destacado como uma sofisticada organização de espionagem, visando governos, ONGs e think tanks nos EUA, Europa e Ásia. Desde sua identificação pública em 2017, suas operações, que provavelmente começaram em 2014, têm se concentrado na coleta de inteligência. As campanhas de spear-phishing do grupo utilizam narrativas geopolíticas e documentos em língua local como iscas para disseminar malware avançado, como PlugX e Poison Ivy. Em uma operação conjunta em 2025, autoridades dos EUA e da França neutralizaram variantes do PlugX que estavam sendo espalhadas por drives USB infectados, afetando mais de 4.200 dispositivos globalmente.