Campanha observada em 2025 combinou malware via USB, carregamento lateral de DLL e múltiplos backdoors para buscar acesso persistente a redes governamentais sensíveis.
| Componente | Redes de uma organização governamental no Sudeste Asiático, com atividade associada a Mustang Panda, CL-STA-1048 e CL-STA-1049. |
| Vetor | Uso de malware baseado em USB no caso de Mustang Panda, entrega de backdoors por DLL maliciosa e carregamento lateral de DLL; o vetor inicial de CL-STA-1048 e CL-STA-1049 não foi esclarecido. |
| Impacto | Busca por acesso persistente, execução de comandos, transferência de arquivos, captura de teclas, tunelamento de pacotes, coleta de informações e possível suporte a roubo de dados. |
| Prioridade | Investigar endpoints governamentais com execução anômala de DLLs, uso incomum de USB, tráfego de backdoors e sinais de ferramentas como HIUPAN, PUBLOAD, COOLCLIENT, FluffyGh0st RAT e componentes EggStreme. |
| Período | Atividade de Mustang Panda registrada entre 1º de junho e 15 de agosto de 2025; CL-STA-1048 entre março e setembro de 2025; CL-STA-1049 em abril e agosto de 2025. |
| Artefatos | HIUPAN, PUBLOAD, Claimloader, COOLCLIENT, Hypnosis Loader, FluffyGh0st RAT, EggStremeFuel, EggStremeLoader, MASOL RAT e TrackBak. |
Uma organização governamental no Sudeste Asiático foi alvo de três agrupamentos de atividade alinhados à China durante uma campanha conduzida em 2025. A operação envolveu ferramentas e técnicas associadas a campanhas previamente documentadas com foco em permanência dentro de redes sensíveis, em vez de simples indisponibilidade ou vandalismo. O conjunto de evidências aponta para objetivos de longo prazo: manter presença, ampliar capacidades de coleta e sustentar canais de controle dentro de um ambiente governamental.
A atividade combina três frentes principais. A primeira foi atribuída ao ecossistema de Mustang Panda e usou uma cadeia baseada em mídia USB para acionar malware e entregar backdoors. A segunda, associada a CL-STA-1048, apresenta sobreposição com agrupamentos conhecidos como Earth Estries e Crimson Palace. A terceira, CL-STA-1049, apresenta sobreposição com Unfading Sea Haze e introduz um carregador DLL chamado Hypnosis Loader, usado para instalar FluffyGh0st RAT. O alinhamento de técnicas, alvos e famílias de ferramentas indica um interesse comum no mesmo ambiente governamental.
No recorte associado a Mustang Panda, observado entre 1º de junho e 15 de agosto de 2025, a cadeia começa com o uso de HIUPAN, malware baseado em USB. Esse artefato é usado para entregar o backdoor PUBLOAD por meio de uma DLL maliciosa identificada como Claimloader. O uso anterior de Claimloader remonta ao fim de 2022 em ataques contra organizações governamentais nas Filipinas, o que reforça a continuidade operacional do conjunto de ferramentas em alvos estatais da região.
A investigação do ambiente também identificou COOLCLIENT, outro backdoor atribuído a Mustang Panda há mais de três anos. As funções descritas para esse implante incluem download e upload de arquivos, registro de teclas, tunelamento de pacotes e captura de informações de mapeamento de portas. Essas capacidades são compatíveis com manutenção de acesso, reconhecimento interno e coleta direcionada, especialmente em redes nas quais o operador precisa entender segmentação, serviços expostos e rotas possíveis para tráfego controlado.
A atividade de CL-STA-1049 segue outro caminho técnico. O agrupamento usa Hypnosis Loader, um novo carregador DLL iniciado por carregamento lateral de DLL. O objetivo final observado é a instalação de FluffyGh0st RAT. O vetor inicial usado por CL-STA-1049 e CL-STA-1048 não foi esclarecido no material técnico disponível, portanto não é possível afirmar se houve phishing, exploração de vulnerabilidade, credenciais válidas ou outro mecanismo de entrada. O que está sustentado é a execução posterior de carregadores, backdoors e componentes de acesso remoto dentro do ambiente comprometido.
A superfície exposta é uma rede governamental no Sudeste Asiático, com sensibilidade elevada por combinar ativos institucionais, estáções de trabalho, servidores internos e possíveis repositórios de documentos. A presença de malware acionado por USB amplia a atenção para endpoints que permitem mídia removível, estáções usadas em fluxos administrativos e máquinas que transitam entre ambientes mais e menos controlados. A existência de backdoors com transferência de arquivos e execução de comandos aumenta o risco de coleta persistente, mas o impacto deve ser mantido no limite dos recursos observados: acesso remoto, enumeração, captura de dados locais e suporte a exfiltração quando habilitado pelas ferramentas.
Os componentes associados a CL-STA-1048 incluem artefatos do framework EggStreme. EggStremeFuel é descrito como backdoor leve capaz de transferir arquivos, enumerar arquivos e diretórios, iniciar ou terminar um shell reverso, enviar o endereço IP global atual e atualizar a configuração de comando e controle. EggStremeLoader, iniciado por EggStremeFuel, oferece 59 comandos de backdoor e possui variante capaz de transferir arquivos por Dropbox. Também aparecem MASOL RAT, com transferência de arquivos e execução arbitrária de comandos, e TrackBak, voltado à coleta de logs, área de transferência, informações de rede e arquivos em unidades.
A sobreposição com campanhas conhecidas não deve ser lida como atribuição absoluta além do que os dados sustentam. Os agrupamentos demonstram vínculos técnicos com atores alinhados à China e compartilham interesse estratégico no alvo, mas a coordenação operacional direta permanece uma inferência baseada em convergência de TTPs, cronologia e objetivo.
- Organização governamental no Sudeste Asiático como alvo confirmado.
- Endpoints com uso de USB ficam em destaque pela cadeia
HIUPANePUBLOAD. - Sistemas Windows suscetíveis a carregamento lateral de DLL são relevantes para
ClaimloadereHypnosis Loader. - Ambientes com serviços internos mapeáveis podem expor dados úteis a backdoors com captura de portas e tunelamento.
A busca defensiva deve priorizar relações de processo incomuns envolvendo DLLs carregadas por binários legítimos ou pouco esperados, principalmente quando a execução antecede conexões persistentes, criação de artefatos temporários ou acesso a diretórios de usuário. Em endpoints, eventos de mídia removível devem ser correlacionados com criação de arquivos executáveis, DLLs recém-gravadas e processos que iniciam logo após a montagem de USB. O objetivo é reconstruir a sequência entre inserção do dispositivo, execução do carregador, entrega do backdoor e primeiro contato de rede.
Na rede, a telemetria deve observar conexões recorrentes de hosts administrativos, padrões de tunelamento, transferência de arquivos fora do perfil normal e uso de serviços de armazenamento legítimos para movimentação de dados quando isso divergir da política institucional. Para os artefatos do ecossistema EggStreme, a defesa deve procurar sinais de enumeração de arquivos e diretórios, atualização de configuração de comando e controle, abertura de shell reverso e transferência por serviços externos. Para TrackBak, registros de acesso à área de transferência, coleta de logs e leitura ampla de unidades locais são sinais relevantes.
- Execução de DLLs recém-criadas por processos que normalmente não carregam bibliotecas daquele caminho.
- Eventos de USB seguidos por criação de
PUBLOAD,Claimloaderou artefatos com nomes e caminhos fora do padrão do ambiente. - Conexões persistentes ou periódicas iniciadas por estáções governamentais com histórico recente de carregamento lateral de DLL.
- Atividade de upload e download de arquivos associada a processos não aprovados ou a uso incomum de serviços como Dropbox.
- Coleta de logs, dados de área de transferência, informações de rede e listagem ampla de diretórios por processos sem função administrativa.
A resposta deve começar pela contenção dos endpoints com indícios de execução via USB, carregamento lateral de DLL ou presença dos backdoors citados. A prioridade é preservar evidências, isolar hosts afetados, coletar artefatos de memória e disco, revisar persistência e mapear comunicações externas antes de remover arquivos de forma destrutiva. Em redes governamentais, a investigação deve incluir contas usadas nos sistemas afetados, compartilhamentos acessados, serviços internos enumerados e qualquer transferência de arquivos que coincida com o período de atividade.
A mitigação estrutural exige controle rigoroso de mídia removível, restrição de execução em caminhos graváveis pelo usuário, monitoramento de carregamento de DLL, lista de permissões para aplicações críticas e inspeção de tráfego de saída por perfil de host. Como o vetor inicial de CL-STA-1048 e CL-STA-1049 não foi esclarecido, a defesa não deve concentrar toda a resposta em uma única porta de entrada. A validação precisa cobrir identidade, endpoint, rede, serviços externos usados para transferência de dados e qualquer mecanismo de persistência compatível com os backdoors observados.
Após a contenção, a organização deve revisar regras de detecção para HIUPAN, PUBLOAD, COOLCLIENT, FluffyGh0st RAT, componentes EggStreme, MASOL RAT e TrackBak, sem depender apenas de nomes de arquivo. O foco deve estar em comportamento: transferência bidirecional de arquivos, execução remota de comandos, captura de teclas, tunelamento, coleta de área de transferência, enumeração de diretórios e atualização de configuração de comando e controle. Esse modelo reduz a chance de perda de visibilidade quando operadores alteram nomes, caminhos ou empacotamento dos artefatos.
- Isolar hosts com evidência de USB suspeito, carregamento lateral de DLL ou comunicação persistente associada a backdoors.
- Bloquear ou restringir mídia removível em estáções sensíveis e registrar eventos de montagem, execução e cópia de arquivos.
- Aplicar controles de execução para impedir DLLs e binários não autorizados em diretórios graváveis por usuários.
- Revisar tráfego de saída, inclusive transferência de arquivos por serviços externos, contra o perfil esperado de cada unidade governamental.
- Caçar comportamentos de backdoor em vez de depender exclusivamente de nomes de malware ou hashes ausentes.
0 Comentários