Lunedi 06 Luglio 2026 01:43:30 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

CoolClient Reloaded: come il malware in evoluzione di Mustang Panda sta dirottando segreti governativi

Pubblicato: 28 Gennaio 2026 04:33Categoria: Cyber Warfare & Nation-State OperationsArea: AsiaAutore: AGONY

Sottotitolo: Un famigerato gruppo cinese di cyber-spionaggio sta trasformando in armi nuovi infostealer e backdoor per infiltrarsi nelle reti governative asiatiche e russe.

Nel mondo oscuro del cyber-spionaggio, pochi nomi incutono più timore nei team IT governativi di Mustang Panda. Questo instancabile gruppo di hacker cinesi ha alzato ancora una volta la posta, rilasciando una nuova versione sofisticata della sua backdoor CoolClient-ora equipaggiata con potenti infostealer progettati per sottrarre credenziali dei browser e monitorare in silenzio l’attività del computer. L’ultima campagna, scoperta da Kaspersky, rivela non solo ingegno tecnico, ma anche una spinta incessante ad adattarsi ed eludere il rilevamento.

Mustang Panda, un collettivo di cyber-spionaggio attivo almeno dal 2022, ha a lungo privilegiato backdoor multi-stage come PlugX e LuminousMoth. Ma l’ultima variante di CoolClient del gruppo segna una escalation inquietante. Secondo Kaspersky, il malware ora può rubare i dati di accesso dei browser, tracciare l’attività degli appunti e distribuire un rootkit finora mai visto-anche se i dettagli tecnici completi restano ancora riservati.

Ciò che distingue questa campagna è l’uso astuto di installer di software legittimi per traghettare payload malevoli oltre le difese di sicurezza. In attacchi recenti, CoolClient è stato introdotto di nascosto nei computer governativi tramite prodotti Sangfor considerati affidabili, oltre che attraverso i classici trucchi di DLL side-loading che abusano di binari firmati e ben noti come Bitdefender e VLC Media Player. Una volta all’interno, il malware avvia un attacco multi-stage, raccogliendo informazioni di sistema, elevando i privilegi e insinuandosi in profondità in Windows tramite modifiche al registro e la creazione di nuovi servizi.

Il design modulare del malware è particolarmente pericoloso. Le funzionalità di base-profilazione del sistema, keylogging, operazioni sui file e tunneling TCP-sono state potenziate includendo sorveglianza in tempo reale degli appunti e furto di credenziali dai proxy HTTP. Anche l’ecosistema di plugin si è ampliato, concedendo agli attaccanti accesso a shell remota e controllo granulare su servizi e file di Windows. In particolare, gli infostealer ora prendono di mira una gamma di browser: Chrome, Edge e qualsiasi browser basato su Chromium, copiando silenziosamente i dati di login in file temporanei per l’esfiltrazione.

Eludere il rilevamento resta una specialità di Mustang Panda. Il gruppo ora usa token hardcoded per caricare i dati rubati direttamente su servizi cloud pubblici come Google Drive e Pixeldrain, aggirando il monitoraggio di sicurezza tradizionale. Questo cambiamento operativo sottolinea l’evoluzione continua di Mustang Panda e il suo status di una delle minacce informatiche più prolifiche al mondo-recentemente indicata dal National Security Bureau di Taiwan per i suoi attacchi ad alto volume contro infrastrutture critiche.

Mentre Mustang Panda continua ad affinare il proprio arsenale digitale, agenzie governative e professionisti della cybersecurity in Asia e oltre si ritrovano intrappolati in un gioco del gatto col topo ad altissima posta. Con ogni nuova variante di malware, la linea tra applicazioni affidabili e payload malevoli si fa sempre più sfumata-ricordandoci che, nel mondo del cyber-spionaggio, il software legittimo di oggi potrebbe essere il cavallo di Troia di domani.

WIKICROOK

  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
  • DLL Side: DLL Side è una tecnica in cui gli attaccanti ingannano i programmi inducendoli a caricare file DLL malevoli, aggirando la sicurezza e ottenendo accesso o controllo non autorizzati.
  • Infostealer: Un infostealer è un malware progettato per rubare dati sensibili-come password, carte di credito o documenti-da computer infetti senza che l’utente se ne accorga.
  • Persistence: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.