Reti d’ombra: il nuovo malware COOLCLIENT di Mustang Panda stringe la presa sui bersagli governativi
Un noto gruppo di hacker legato alla Cina intensifica la sua campagna di cyber spionaggio con una backdoor più furtiva e pericolosa.
Nei corridoi in penombra della guerra cibernetica globale, un nome continua a riaffiorare: Mustang Panda. Nel 2025, questo elusivo collettivo di hacker-noto anche con alias come Earth Preta e HoneyMyte-ha scatenato una versione potenziata della sua famigerata backdoor COOLCLIENT, infiltrando sistemi governativi in tutta l’Asia e oltre. Mentre emergono nuovi dettagli, gli investigatori avvertono: non si tratta solo dell’ennesimo giro di curiosità digitale. È un attacco metodico, a più livelli, progettato per una sorveglianza profonda e un furto di dati su vasta scala.
L’ultima ondata di attacchi di Mustang Panda è definita da astuzia tecnica e ambizione incessante. Secondo Kaspersky e altri ricercatori di sicurezza, la backdoor COOLCLIENT aggiornata del gruppo non riguarda più soltanto il furto di documenti sensibili. Riguarda il controllo totale-leggere ed eliminare file, catturare le digitazioni, monitorare gli appunti e raccogliere le credenziali dei browser con precisione chirurgica.
Il copione di Mustang Panda si basa su un trucco classico ma efficace: il side-loading di DLL. Nascondendo il proprio codice malevolo dentro file che sembrano software legittimo-dagli strumenti antivirus ai lettori multimediali-gli hacker riescono a superare le difese standard. Una volta dentro, COOLCLIENT agisce come un coltellino svizzero digitale, eseguendo comandi da server remoti, avviando shell di comando per il controllo in tempo reale e distribuendo plugin specializzati per la gestione dei servizi e le operazioni sui file.
La portata del malware non si ferma qui. Nelle campagne recenti, Mustang Panda ha affiancato a COOLCLIENT ulteriori payload come TONESHELL (per la persistenza), QReverse (per l’accesso remoto) e TONEDISK (un worm USB). Ha inoltre distribuito più ladri di browser, risucchiando credenziali di accesso da Chrome, Edge e Firefox-arrivando persino a esfiltrare file di cookie su Google Drive nel tentativo di eludere il rilevamento.
Non è un’operazione da lupo solitario. Le somiglianze di codice tra gli strumenti di Mustang Panda e quelli usati da LuminousMoth suggeriscono una condivisione attiva o una collaborazione tra attori di minaccia basati in Cina. Gli attacchi sono sistematici e prendono di mira non solo agenzie governative, ma anche operatori di telecomunicazioni e infrastrutture critiche in tutto il Sud-est asiatico e in Russia.
Ciò che distingue questa campagna è la sua scala e sofisticazione. Gli operatori di Mustang Panda usano script batch e PowerShell per ricognizione, furto di documenti e raccolta di dati dai browser-dimostrando un approccio pratico e adattivo. Gli analisti di sicurezza avvertono che l’evoluzione del toolkit del gruppo segnala un passaggio dallo spionaggio opportunistico a una sorveglianza persistente e invasiva di bersagli di alto valore.
Con l’allungarsi delle ombre digitali, una cosa è certa: l’ultima campagna di Mustang Panda è un duro promemoria del fatto che il cyber spionaggio sta evolvendo. Con malware avanzati come COOLCLIENT e un arsenale crescente di strumenti di supporto, il gruppo sta ridefinendo i confini della sorveglianza sponsorizzata dagli Stati-lasciando le reti governative più esposte che mai.
WIKICROOK
- Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
- DLL Side: DLL Side è una tecnica con cui gli attaccanti ingannano i programmi inducendoli a caricare file DLL malevoli, aggirando la sicurezza e ottenendo accesso o controllo non autorizzati.
- Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
- Rootkit: Un rootkit è un malware furtivo che si nasconde su un dispositivo, consentendo agli attaccanti di controllare segretamente il sistema ed eludere il rilevamento.
- Keylogging: Il keylogging è un metodo di spionaggio in cui ogni tasto digitato viene registrato di nascosto e inviato ai criminali informatici, mettendo a rischio le tue informazioni sensibili.




