Relatório técnico da Kaspersky descreve atualização no conjunto de ferramentas do grupo APT conhecido como HoneyMyte (também citado como Mustang Panda / Bronze President). A análise detalha novas funcionalidades do backdoor CoolClient, variantes de ladrões de credenciais de navegador e scripts de coleta/exfiltração usados em campanhas contra governos e organizações na Ásia e Europa.
Principais achados
A pesquisa aponta para uma evolução do CoolClient: o backdoor passou a suportar monitoramento de clipboard, sniffer de credenciais via HTTP proxy, e um modelo de plugins (FileMgrS.dll, RemoteShellS.dll, ServiceMgrS.dll). Além disso, foram identificadas três variantes de um stealer de credenciais de navegador (alvo Chrome/Edge/Chromium) e vários scripts de coleta que empregam serviços públicos para exfiltração (por exemplo, Pixeldrain).
Arquitetura e técnicas
- Entrega e execução: CoolClient é frequentemente implantado por meio de DLL sideloading, abusando de binários assinados legitimamente (ex.: Sang.exe — solução da Sangfor). O payload inicial carrega arquivos criptografados (loader.dat, main.dat, time.dat) que contêm estágios subsequentes em memória.
- Persistência e elevação: modos de operação incluem flags “install”, “work” e “passuac”. O modo passuac tenta burlar UAC e instalar tarefas agendadas (ComboxResetTask) para persistência com elevação quando privilégios permitem.
- Funcionalidades novas: keylogger, monitor de janelas ativas, exfiltração via proxy sniffing e suporte a plugins carregados em memória para ampliar capacidades sem escrita em disco.
Stealers e scripts de exfiltração
Foram catalogadas três variantes do ladrão de credenciais: uma para Chrome (Variant A), outra para Edge (Variant B) e uma terceira genérica para navegadores Chromium via DLL side‑loading (Variant C). O stealer usa o Local State para obter a encrypted_key e invoca CryptUnprotectData para decifrar a chave mestra e recuperar senhas.
Scripts observados (1.bat, Ttraazcs32.ps1, t.ps1) automatizam coleta de inventário, compressão com RAR, e exfiltração via FTP ou serviços públicos (Pixeldrain, Google Drive). Em alguns casos, os atacantes usam tokens embutidos para enviar arquivos diretamente a contas externas.
Indicadores e mitigação operacional
A Kaspersky publicou indicadores de compromisso (hashes de DLLs/arquivos e domínios C2), além de padrões comportamentais: execuções via Sang.exe, presença de arquivos como main.dat/loader.dat, e comunicações TCP com domínios identificados. As recomendações pragmáticas incluem:
- Monitorar execuções de binários raros assinados e correlacionar cargas latentes que carreguem módulos não usuais (libngs.dll, loader.dat).
- Implementar controles de integridade e análise em memória para detectar loaders que executem shellcode sem gravar artefatos persistentes simples.
- Bloquear ou alertar uploads automáticos para serviços públicos não aprovados (Pixeldrain, Google Drive) a partir de hosts sensíveis.
- Auditar uso de DLL sideloading e reduzir confiança em executáveis de terceiros que possam ser alvos de abuso.
Impacto e contexto
As campanhas atribuídas a HoneyMyte visam primariamente o setor governamental e regiões do Sudeste Asiático, Mongólia, Paquistão e Rússia. As funcionalidades recém‑adicionadas ao CoolClient ampliam a capacidade de vigilância contínua (keystrokes, clipboard, proxy creds), elevando a criticidade para ambientes com dados sensíveis.
A investigação reforça que operadores APT continuam modernizando toolchains e explorando serviços legítimos (signed binaries, file‑sharing) para reduzir a superfície detectável por controles tradicionais.
Fonte e referências
Relatório técnico completo e indicadores foram publicados pela Kaspersky e sumarizados para fins de resposta e triagem por equipes de segurança.