Lunedi 06 Luglio 2026 01:45:20 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Reti d’ombra: il nuovo malware COOLCLIENT di Mustang Panda stringe la presa sui bersagli governativi

Pubblicato: 28 Gennaio 2026 15:41Categoria: Cyber Warfare & Nation-State OperationsArea: AsiaAutore: AGONY

Un noto gruppo di hacker legato alla Cina intensifica la sua campagna di cyber spionaggio con una backdoor più furtiva e pericolosa.

Nei corridoi in penombra della guerra cibernetica globale, un nome continua a riaffiorare: Mustang Panda. Nel 2025, questo elusivo collettivo di hacker-noto anche con alias come Earth Preta e HoneyMyte-ha scatenato una versione potenziata della sua famigerata backdoor COOLCLIENT, infiltrando sistemi governativi in tutta l’Asia e oltre. Mentre emergono nuovi dettagli, gli investigatori avvertono: non si tratta solo dell’ennesimo giro di curiosità digitale. È un attacco metodico, a più livelli, progettato per una sorveglianza profonda e un furto di dati su vasta scala.

L’ultima ondata di attacchi di Mustang Panda è definita da astuzia tecnica e ambizione incessante. Secondo Kaspersky e altri ricercatori di sicurezza, la backdoor COOLCLIENT aggiornata del gruppo non riguarda più soltanto il furto di documenti sensibili. Riguarda il controllo totale-leggere ed eliminare file, catturare le digitazioni, monitorare gli appunti e raccogliere le credenziali dei browser con precisione chirurgica.

Il copione di Mustang Panda si basa su un trucco classico ma efficace: il side-loading di DLL. Nascondendo il proprio codice malevolo dentro file che sembrano software legittimo-dagli strumenti antivirus ai lettori multimediali-gli hacker riescono a superare le difese standard. Una volta dentro, COOLCLIENT agisce come un coltellino svizzero digitale, eseguendo comandi da server remoti, avviando shell di comando per il controllo in tempo reale e distribuendo plugin specializzati per la gestione dei servizi e le operazioni sui file.

La portata del malware non si ferma qui. Nelle campagne recenti, Mustang Panda ha affiancato a COOLCLIENT ulteriori payload come TONESHELL (per la persistenza), QReverse (per l’accesso remoto) e TONEDISK (un worm USB). Ha inoltre distribuito più ladri di browser, risucchiando credenziali di accesso da Chrome, Edge e Firefox-arrivando persino a esfiltrare file di cookie su Google Drive nel tentativo di eludere il rilevamento.

Non è un’operazione da lupo solitario. Le somiglianze di codice tra gli strumenti di Mustang Panda e quelli usati da LuminousMoth suggeriscono una condivisione attiva o una collaborazione tra attori di minaccia basati in Cina. Gli attacchi sono sistematici e prendono di mira non solo agenzie governative, ma anche operatori di telecomunicazioni e infrastrutture critiche in tutto il Sud-est asiatico e in Russia.

Ciò che distingue questa campagna è la sua scala e sofisticazione. Gli operatori di Mustang Panda usano script batch e PowerShell per ricognizione, furto di documenti e raccolta di dati dai browser-dimostrando un approccio pratico e adattivo. Gli analisti di sicurezza avvertono che l’evoluzione del toolkit del gruppo segnala un passaggio dallo spionaggio opportunistico a una sorveglianza persistente e invasiva di bersagli di alto valore.

Con l’allungarsi delle ombre digitali, una cosa è certa: l’ultima campagna di Mustang Panda è un duro promemoria del fatto che il cyber spionaggio sta evolvendo. Con malware avanzati come COOLCLIENT e un arsenale crescente di strumenti di supporto, il gruppo sta ridefinendo i confini della sorveglianza sponsorizzata dagli Stati-lasciando le reti governative più esposte che mai.

WIKICROOK

  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
  • DLL Side: DLL Side è una tecnica con cui gli attaccanti ingannano i programmi inducendoli a caricare file DLL malevoli, aggirando la sicurezza e ottenendo accesso o controllo non autorizzati.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Rootkit: Un rootkit è un malware furtivo che si nasconde su un dispositivo, consentendo agli attaccanti di controllare segretamente il sistema ed eludere il rilevamento.
  • Keylogging: Il keylogging è un metodo di spionaggio in cui ogni tasto digitato viene registrato di nascosto e inviato ai criminali informatici, mettendo a rischio le tue informazioni sensibili.