كشفت تقارير أمنية حديثة أن مجموعة التهديد الصينية المعروفة باسم Mustang Panda (وتعرف أيضاً بأسماء Earth Preta وFireant وHoneyMyte وPolaris وTwill Typhoon) استخدمت نسخة محدثة من برمجية COOLCLIENT في هجمات تجسس سيبراني خلال عام 2025، استهدفت مؤسسات حكومية في دول مثل ميانمار ومنغوليا وماليزيا وروسيا.
آلية عمل COOLCLIENT وتكتيكات التنفيذ
بحسب شركة Kaspersky، يتم نشر COOLCLIENT عادةً كبرمجية خلفية ثانوية إلى جانب برمجيات مثل PlugX وLuminousMoth. يعتمد التنفيذ على تقنية DLL Side-Loading، حيث يتم استغلال ملفات تنفيذية موقعة وشرعية لتحميل مكتبات DLL خبيثة.
بين عامي 2021 و2025، استغلت المجموعة ملفات من منتجات معروفة مثل Bitdefender وVLC Media Player وUlead PhotoImpact وSangfor، حيث تم تعديلها لتعمل كحامل للبرمجية الخبيثة. في إحدى الحملات عام 2025، استُخدم برنامج Sangfor لنشر نسخة من COOLCLIENT قادرة على تثبيت Rootkit جديد غير موثق سابقاً.
قدرات البرمجية وأدواتها الإضافية
تتميز COOLCLIENT بقدرات واسعة تشمل جمع معلومات النظام والمستخدم مثل ضغطات لوحة المفاتيح، محتوى الحافظة، الملفات، وبيانات اعتماد البروكسي من حركة مرور HTTP. كما يمكنها إنشاء نفق عكسي أو وكيل، وتنفيذ إضافات برمجية في الذاكرة.
من بين الإضافات التي تم رصدها:
- ServiceMgrS.dll لإدارة الخدمات على الجهاز المصاب.
- FileMgrS.dll لإدارة الملفات والمجلدات (إنشاء، قراءة، ضغط، حذف).
- RemoteShellS.dll لتشغيل أوامر عبر واجهة سطر الأوامر.
إلى جانب ذلك، نشرت المجموعة أدوات سرقة بيانات تستهدف متصفحات مثل Google Chrome وMicrosoft Edge، وفي إحدى الحالات تم استخدام أمر cURL لتهريب ملفات تعريف الارتباط الخاصة بمتصفح Firefox إلى حساب على Google Drive.
أدوات إضافية وتكامل مع برمجيات أخرى
الهجمات تضمنت أيضاً استخدام برمجية TONESHELL (TOnePipeShell) لتثبيت برمجيات إضافية مثل QReverse (حصان طروادة للتحكم عن بُعد) وTONEDISK (دودة USB). كما أظهرت تحليلات كاسبرسكي تشابهاً في الشيفرة بين أدوات سرقة بيانات تابعة لـ LuminousMoth، ما يشير إلى مشاركة الأدوات بين المجموعات.
إضافة إلى ذلك، استخدمت Mustang Panda سكربتات Batch وPowerShell لجمع معلومات النظام وسرقة الوثائق وبيانات تسجيل الدخول.
ما وراء التجسس التقليدي
تؤكد التحليلات أن قدرات COOLCLIENT تتجاوز أهداف التجسس التقليدية، إذ تشمل مراقبة نشاط المستخدم بشكل مباشر عبر تسجيل ضغطات المفاتيح، مراقبة الحافظة، سرقة بيانات البروكسي، وجمع واسع النطاق للملفات. هذا التحول يعكس توجه المجموعة نحو المراقبة النشطة لأنشطة المستخدمين، وليس مجرد سرقة الوثائق أو الحفاظ على وجود طويل الأمد داخل الأنظمة.
