サイバーニュース.jp

世界のサイバーなニュースを配信

Mustang Panda、政府機関へのサイバー攻撃で更新されたCOOLCLIENTバックドアを展開

カテゴリ:

中国関連APTグループ「Mustang Panda」の新たな脅威

2025年、中国と関連があるとされる脅威アクターグループMustang Panda(別名Earth Preta、Fireant、HoneyMyte、Polaris、Twill Typhoon)が、更新されたCOOLCLIENTバックドアをサイバーespionage攻撃に利用していることが確認されました。この攻撃は、感染したエンドポイントからの包括的なデータ窃取を目的としており、主にミャンマー、モンゴル、マレーシア、ロシアの政府機関を標的としています。

カスペルスキー社が公開した詳細によると、このマルウェアはPlugXLuminousMothの感染と併用され、セカンダリバックドアとして展開されています。

COOLCLIENTの展開手法と機能

COOLCLIENTは通常、暗号化されたコンフィギュレーションデータ、シェルコード、インメモリDLLモジュールを含む暗号化されたローダーファイルと共に配信されます。これらのモジュールは、正当な署名済み実行ファイルが悪意のあるDLLをロードするDLLサイドローディングを主要な実行方法として利用します。

2021年から2025年にかけて、Mustang Pandaは、Bitdefenderの「qutppy.exe」、VLC Media Playerの「vlc.exe」(「googleupdate.exe」に改名)、Ulead PhotoImpactの「olreg.exe」、Sangforの「sang.exe」といった様々なソフトウェアの署名済みバイナリを悪用してきました。特に2024年および2025年のキャンペーンでは、Sangfor製の正当なソフトウェアが悪用され、パキスタンとミャンマーを標的とした攻撃では、COOLCLIENTの亜種がこれまでに確認されていないルートキットを展開しています。

COOLCLIENTは、システムおよびユーザー情報(キーロガー、クリップボードの内容、ファイル、HTTPプロキシ認証情報など)を収集し、コマンド&コントロール(C2)サーバーからの指示に基づいてHTTPトラフィックパケットから情報を抽出するように設計されています。また、リバーストンネルやプロキシの設定、追加プラグインのメモリ内実行も可能です。

主要なプラグイン

  • ServiceMgrS.dll: 犠牲者ホスト上のすべてのサービスを監視するサービス管理プラグイン。
  • FileMgrS.dll: ファイルやフォルダの列挙、作成、移動、読み取り、圧縮、検索、削除を行うファイル管理プラグイン。
  • RemoteShellS.dll: 「cmd.exe」プロセスを生成し、オペレーターがコマンドを発行して結果の出力をキャプチャできるようにするリモートシェルプラグイン。

認証情報窃取とその他のツール

Mustang Pandaは、Google Chrome、Microsoft Edge、その他のChromiumベースのブラウザから保存されたログイン認証情報を抽出するために、3種類の異なるスティールプログラムも展開しています。少なくとも1つのケースでは、cURLコマンドを実行してMozilla Firefoxのクッキーファイル(「cookies.sqlite」)をGoogle Driveに送信していることが確認されています。これらのスティールプログラムは、ミャンマー、マレーシア、タイの政府機関に対する攻撃で検出されており、より広範なポストエクスプロイト活動の一部として使用されていると疑われています。

さらに、この攻撃では、持続性を確立し、QReverse(リモートシェル、ファイル管理、スクリーンショットキャプチャ、情報収集機能を備えたリモートアクセス型トロイの木馬)やTONEDISK(USBワーム)のような追加のペイロードをドロップするために、既知のマルウェアTONESHELL(別名TOnePipeShell)が使用されています。

カスペルスキーによるブラウザ認証情報スティールプログラムの分析では、LuminousMothが使用したクッキースティールプログラムとの間にコードレベルの類似性が発見されており、両グループ間でのツールの共有が示唆されています。また、Mustang Pandaは、システム情報の収集、文書窃盗活動、ブラウザログインデータの窃取にバッチファイルやPowerShellスクリプトも利用しています。

従来の目標を超える監視活動

「キーロガー、クリップボード監視、プロキシ認証情報窃取、文書窃取、ブラウザ認証情報収集、大規模なファイル窃取といった能力を持つHoneyMyte(Mustang Pandaの別名)のキャンペーンは、文書窃取や持続性といった従来のespionage目標をはるかに超えているようです」とカスペルスキーは述べています。「これらのツールは、キーストロークのキャプチャ、クリップボードデータの収集、プロキシ認証情報の収集を含む、ユーザー活動の積極的な監視への移行を示しています。」

元記事: https://thehackernews.com/2026/01/mustang-panda-deploys-updated.html

投稿をさらに読み込む