Waspada! Mustang Panda Luncurkan CoolClient Terbaru, Incar Kredensial
- Istimewa
1. Pencurian Kredensial: Mencuri data login dari browser seperti Google Chrome dan Microsoft Edge.
2. Pemantauan Clipboard: Melacak isi clipboard, yang sering kali berisi kata sandi atau informasi sensitif yang baru disalin.
3. Pelacakan Jendela Aktif: Memantau program atau jendela apa yang sedang dibuka oleh korban.
4. Pengumpulan Informasi Sistem: Mengumpulkan detail perangkat, konfigurasi jaringan, dan data sistem operasi.
Untuk memastikan keberadaannya, malware bekerja secara bertahap. CoolClient memodifikasi Registry Windows, menambahkan layanan Windows baru, dan membuat tugas terjadwal. Selain itu, varian terbaru ini juga dilaporkan digunakan untuk menyebarkan rootkit baru yang belum terdeteksi sebelumnya.
Taktik Penghindaran Deteksi Terbaru
Salah satu peningkatan paling cerdik adalah mekanisme pengiriman data curian. Malware kini memanfaatkan token API dari layanan sah. Mereka menggunakan layanan populer seperti Google Drive dan Pixeldrain.
CoolClient mengirimkan data curian melalui API ini. Akibatnya, sistem keamanan sangat sulit membedakan transfer data berbahaya dari lalu lintas jaringan yang sah. Perluasan ekosistem plugin juga memberi pelaku kontrol penuh atas sistem. Fitur ini mencakup shell jarak jauh dan manajemen layanan Windows tingkat lanjut.
Ancaman Strategis Jangka Panjang
Pembaruan CoolClient oleh Mustang Panda menunjukkan bahwa kelompok ini terus berinvestasi besar dalam kemampuan operasionalnya. Kelompok ini tidak hanya mengandalkan CoolClient. Dalam beberapa bulan terakhir, mereka juga terlibat dalam penyebaran backdoor lain, ToneShell, melalui loader mode kernel.
Oleh karena itu, lembaga keamanan siber wajib meningkatkan kewaspadaan. Biro Keamanan Nasional Taiwan bahkan telah menggolongkan Mustang Panda sebagai salah satu ancaman siber paling aktif dan berbahaya. Peningkatan kemampuan pencurian kredensial ini secara langsung mengancam integritas infrastruktur penting yang menjadi target mereka. Lembaga pemerintah harus segera memperkuat pertahanan jaringan dan menerapkan autentikasi multifaktor untuk mencegah kebocoran data sensitif yang disebabkan oleh serangan siber canggih ini.
