Nel panorama della cyber sicurezza del 2025 e 2026 si evidenzia una nuova ondata di attacchi di cyber spionaggio contro enti governativi e operatori di telecomunicazioni, attribuita al gruppo noto come Mustang Panda. Al centro delle operazioni compare una versione aggiornata della backdoor COOLCLIENT, progettata per un furto dati esteso e per il controllo remoto dei sistemi compromessi. Le campagne hanno interessato in particolare organizzazioni in Myanmar, Mongolia, Malaysia e Russia, con tecniche di intrusione mirate e una forte attenzione alla persistenza.

Un elemento chiave della catena di infezione è il ricorso al DLL side loading, una tecnica che sfrutta eseguibili legittimi firmati digitalmente per caricare librerie malevole. In diversi casi sono stati osservati binari provenienti da software noti, inclusi player multimediali e strumenti di sicurezza, rinominati o riutilizzati come vettori di esecuzione. Questo approccio riduce la probabilità di rilevamento e consente agli attaccanti di avviare moduli in memoria, spesso preceduti da loader cifrati che contengono configurazioni, shellcode e componenti DLL di fase successiva.

La backdoor COOLCLIENT raccoglie informazioni di sistema e dati utente, includendo tasti premuti, contenuti degli appunti, file e credenziali proxy estratte dal traffico HTTP. La comunicazione con il server di comando e controllo avviene via TCP, permettendo di ricevere istruzioni, attivare un reverse tunnel o un proxy e caricare plugin aggiuntivi direttamente in memoria. Tra i moduli più rilevanti compaiono strumenti per la gestione dei servizi del sistema, per l’amministrazione e l’esfiltrazione di file e per l’apertura di una shell remota basata su cmd.exe, utile a eseguire comandi e recuperare output.

Accanto a COOLCLIENT, gli attaccanti hanno utilizzato anche altri malware e strumenti post-exploitation, inclusi programmi stealer per sottrarre credenziali salvate in browser come Google Chrome, Microsoft Edge e altri basati su Chromium. In almeno un episodio è stata segnalata l’esfiltrazione dei cookie di Firefox tramite un comando cURL verso Google Drive, segno di una strategia orientata alla compromissione degli account e al movimento laterale. L’impiego di script batch e PowerShell per la raccolta di informazioni e il furto di documenti rafforza l’idea di un modello operativo che punta alla sorveglianza attiva dell’utente, non solo al semplice furto di file.