A campanha combina carregamento lateral de DLL, binários assinados e plugins em memória para coleta de arquivos, credenciais de proxy, teclas digitadas e atividade do usuário em ambientes governamentais.
| Componente | Backdoor COOLCLIENT usado por Mustang Panda como implante secundário junto de infecções por PlugX e LuminousMoth. |
| Vetor | Execução por carregamento lateral de DLL com executáveis legítimos assinados, incluindo artefatos associados a Bitdefender, VLC Media Player, Ulead PhotoImpact e Sangfor. |
| Impacto | Coleta de informações do sistema e do usuário, captura de teclas, monitoramento de área de transferência, furto de arquivos, credenciais de proxy HTTP e execução de plugins em memória. |
| Prioridade | Investigar cadeias com binários legítimos renomeados, DLLs carregadas de diretórios incomuns, tráfego TCP para C2 e presença de plugins como ServiceMgrS.dll, FileMgrS.dll e RemoteShellS.dll. |
| Alvos | Entidades governamentais em campanhas envolvendo Myanmar, Mongólia, Malásia e Rússia, com ondas também associadas a Pakistan, Myanmar, Malásia, Tailândia e operadores de telecomunicações em um país asiático. |
| Artefatos | Uso de qutppy.exe, googleupdate.exe derivado de vlc.exe, olreg.exe, sang.exe, TONESHELL, QReverse, TONEDISK e um rootkit previamente não documentado em uma variante recente. |
Mustang Panda, também rastreado como Earth Preta, Fireant, HoneyMyte, Polaris e Twill Typhoon, foi observado usando uma versão atualizada do backdoor COOLCLIENT em operações de espionagem cibernética durante 2025. A atividade descrita envolve principalmente entidades governamentais, com campanhas voltadas a Myanmar, Mongólia, Malásia e Rússia. O implante aparece como parte de um ecossistema de pós-comprometimento mais amplo, no qual COOLCLIENT atua como backdoor secundário em ambientes que também apresentam infecções por PlugX e LuminousMoth.
O ponto técnico central da campanha é a combinação de carregadores criptografados, dados de configuração protegidos, shellcode e módulos DLL de estágio seguinte executados em memória. A cadeia depende de carregamento lateral de DLL, em que um executável legítimo e assinado carrega uma biblioteca maliciosa posicionada pelo operador. Esse padrão reduz a visibilidade de controles baseados apenas em reputação do binário principal e desloca a investigação para o relacionamento entre processo, diretório de execução, DLL carregada, configuração criptografada e comunicação de rede.
A capacidade do COOLCLIENT vai além de coleta pontual de documentos. O malware foi descrito com funções para coletar informações do sistema e do usuário, registrar teclas digitadas, monitorar conteúdo da área de transferência, capturar arquivos, extrair credenciais de proxy HTTP observadas no tráfego local e receber plugins adicionais em memória por meio de instruções enviadas por um servidor de comando e controle via TCP. O conjunto indica uma operação desenhada para vigilância contínua do endpoint comprometido e manutenção de acesso operacional.
A execução inicial conhecida no material analisado usa executáveis legítimos de terceiros como hospedeiros para DLLs maliciosas. Entre 2021 e 2025, foram citados binários assinados ligados a Bitdefender, VLC Media Player, Ulead PhotoImpact e Sangfor. Em um caso, vlc.exe aparece renomeado como googleupdate.exe, técnica que pode confundir uma inspeção superficial por nome de arquivo, mas mantém inconsistências úteis para defesa, como localização fora do caminho esperado, metadados incompatíveis e DLLs carregadas a partir do mesmo diretório do executável.
Nas campanhas observadas em 2024 e 2025, software legítimo da Sangfor foi abusado para entregar uma variante do COOLCLIENT. Uma onda direcionada a Pakistan e Myanmar usou esse caminho para implantar uma variante que solta e executa um rootkit previamente não documentado. O contexto não fornece nome, hash, versão ou mecanismo interno desse rootkit, portanto a conclusão defensiva deve ficar restrita ao encadeamento: binário legítimo abusado, carregamento lateral de DLL, entrega de variante COOLCLIENT e execução subsequente de componente de baixo nível.
Após estabelecido, o backdoor recebe instruções do C2 sobre TCP e pode executar módulos adicionais em memória. Os plugins citados mostram uma separação funcional clara: ServiceMgrS.dll administra serviços no host, FileMgrS.dll fornece operações sobre arquivos e diretórios, e RemoteShellS.dll cria um processo comando operacional omitido para permitir execução remota e retorno da saída ao operador. Também foram descritos recursos de túnel reverso ou proxy, o que amplia o valor do endpoint comprometido como ponto de apoio para tráfego operacional dentro de ambientes restritos.
A operação também envolve TONESHELL, conhecido como TOnePipeShell, usado com diferentes níveis de capacidade para persistência e entrega de cargas adicionais. Entre os payloads associados estão QReverse, um trojan de acesso remoto com shell remota, gerenciamento de arquivos, captura de tela e coleta de informações, e TONEDISK, descrito como worm USB. Esse conjunto torna a resposta mais complexa porque a remoção de um único binário não necessariamente elimina persistência, ferramentas auxiliares, módulos em memória ou caminhos de reentrada.
A superfície de risco está concentrada em endpoints governamentais e ambientes institucionais onde usuários trabalham com documentos, credenciais de proxy e tráfego HTTP autenticado. Como o malware coleta teclas digitadas, conteúdo de área de transferência, arquivos e credenciais de proxy, contas de usuário, documentos internos e configurações de acesso podem ser expostos quando o host já está infectado. O contexto sustenta furto de dados e vigilância de atividade do usuário em endpoints comprometidos, mas não fornece evidência específica de movimentação lateral, exploração de vulnerabilidade pública ou vazamento de bases corporativas completas.
A técnica de carregamento lateral desloca a superfície afetada para diretórios onde aplicações legítimas são copiadas, renomeadas ou executadas fora do padrão. Binários como qutppy.exe, googleupdate.exe, olreg.exe e sang.exe devem ser avaliados pelo conjunto de evidências, não apenas pelo nome. Um executável assinado pode ser parte de software legítimo, mas se estiver junto de DLL incomum, configuração criptografada e tráfego TCP suspeito, o encadeamento passa a indicar uso abusivo.
- Órgãos governamentais citados nas campanhas envolvendo Myanmar, Mongólia, Malásia e Rússia.
- Ambientes onde binários assinados de terceiros são executados fora de seus diretórios normais ou com nomes alterados.
- Hosts com infecções correlatas por
PlugX,LuminousMoth,TONESHELL,QReverseouTONEDISK. - Endpoints que processam documentos sensíveis, usam proxy HTTP autenticado ou mantêm credenciais reutilizáveis em sessões locais.
A investigação deve começar pela correlação entre criação de processo, imagem assinada, caminho de execução, DLLs carregadas e conexões TCP subsequentes. A presença de um binário legítimo não deve encerrar a triagem quando o processo executa de diretório temporário, perfil de usuário, pasta de atualização improvisada ou local sem relação com o fornecedor. Em especial, renomeações que tentam simular processos de atualização, como o uso de nome semelhante a atualizador do Google para um binário derivado de VLC, merecem validação por assinatura, metadados, hash interno permitido e cadeia de carregamento.
Nos endpoints, a telemetria de EDR deve procurar DLLs com nomes próximos de plugins de serviço, arquivo ou shell remota, além de carregadores que leem blobs criptografados antes de executar código em memória. Como o contexto descreve shellcode e módulos DLL de próximo estágio, sinais como alocação de memória executável, carregamento reflexivo, ausência de arquivo correspondente para módulo ativo e processo legítimo carregando biblioteca não usual são relevantes. A criação de comando operacional omitido como processo filho de binário de terceiro também é um indicador forte quando associada a conexão externa ou captura de saída.
Na rede, o tráfego deve ser analisado para conexões TCP persistentes ou periódicas originadas de executáveis legítimos usados fora de contexto. O contexto não fornece domínios, endereços IP ou portas, portanto não há IoCs de rede específicos a publicar. A defesa deve priorizar padrões comportamentais: processo assinado raro para o ambiente, comunicação externa incompatível com a finalidade do software, volume anômalo de transferência de arquivos e sequência temporal entre execução de binário, carregamento de DLL, coleta local e sessão de C2.
- Processos assinados executados de caminhos inesperados com DLLs no mesmo diretório.
- comando operacional omitido iniciado por executáveis de terceiros sem relação administrativa clara.
- Carregamento de
ServiceMgrS.dll,FileMgrS.dll,RemoteShellS.dllou nomes funcionalmente semelhantes. - Leitura de configuração criptografada seguida de alocação de memória executável e conexão TCP externa.
- Eventos de acesso, compressão, enumeração, busca ou exclusão de arquivos por processo não associado a ferramenta de administração aprovada.
- Indícios de coleta de área de transferência, captura de teclas ou inspeção de tráfego HTTP local para credenciais de proxy.
A resposta deve tratar o caso como comprometimento de endpoint com possível coleta de credenciais e dados, não apenas como detecção de arquivo malicioso. A primeira etapa é isolar os hosts com cadeia compatível, preservar evidências voláteis quando possível e coletar árvore de processos, módulos carregados, conexões de rede, serviços instalados e artefatos de persistência. Como COOLCLIENT pode receber plugins em memória, a ausência de todos os arquivos em disco não elimina a necessidade de análise de memória, revisão de execução recente e correlação com logs de rede.
A contenção deve incluir invalidação de credenciais de proxy e revisão de contas usadas nos endpoints afetados. Como o malware foi descrito coletando credenciais de proxy HTTP a partir de pacotes de tráfego, organizações que dependem de proxy autenticado devem assumir que essas credenciais podem ter sido capturadas no host infectado. Também é necessário revisar documentos acessados, cópias compactadas, operações de busca e transferências incomuns, mantendo a conclusão limitada ao que a telemetria local confirmar.
No endurecimento preventivo, a prioridade é reduzir a viabilidade de carregamento lateral de DLL e execução de binários legítimos fora de caminhos confiáveis. Controles de aplicação devem considerar assinatura, caminho, reputação interna, fornecedor, linha de comando, DLLs dependentes e relação com usuários autorizados. Regras de detecção que apenas permitem qualquer binário assinado deixam espaço para abuso quando o operador leva o executável legítimo para um diretório controlado e o usa para carregar biblioteca maliciosa.
- Isolar hosts suspeitos e preservar árvore de processos, módulos carregados, conexões TCP e artefatos de serviço.
- Revogar ou trocar credenciais de proxy e contas usadas em endpoints comprometidos.
- Bloquear execução de binários legítimos quando copiados para diretórios não autorizados ou usados com DLLs não aprovadas.
- Criar alertas para executáveis assinados carregando DLLs locais incomuns e iniciando comando operacional omitido.
- Procurar componentes associados a
PlugX,LuminousMoth,TONESHELL,QReverseeTONEDISKnos mesmos hosts. - Validar remoção com análise de persistência, memória, serviços, tarefas agendadas, tráfego externo e eventos de acesso a arquivos.
0 Comentários