Waspada! Mustang Panda Luncurkan CoolClient Terbaru, Incar Kredensial
- Istimewa
- Mustang Panda memperbarui CoolClient dengan kemampuan mencuri kredensial browser dan memantau isi clipboard.
- Target utama serangan serangan siber ini adalah lembaga pemerintah di Asia, termasuk Malaysia, Mongolia, dan Pakistan.
- Malware disebarkan menggunakan perangkat lunak sah (Sangfor) dan memanfaatkan API layanan terkemuka (Google Drive) untuk menyamarkan aktivitas.
Kelompok peretas asal China yang dikenal berbahaya, Mustang Panda, kembali memicu kekhawatiran global. Mereka baru saja meningkatkan kapabilitas alat serangan utama mereka, CoolClient. Versi terbaru backdoor ini memiliki fungsi yang jauh lebih agresif. Analisis dari peneliti Kaspersky menunjukkan bahwa CoolClient kini dirancang untuk mencuri data login browser dan memantau isi clipboard korban. Peningkatan signifikan ini menandakan eskalasi serius dalam aktivitas Mustang Panda. Para ahli keamanan siber harus segera waspada terhadap pembaruan ancaman ini.
Target dan Modus Operandi Terbaru Mustang Panda
Mustang Panda merupakan kelompok peretas yang sangat aktif menargetkan sektor strategis. Serangan terbaru ini secara spesifik mengincar lembaga pemerintah di beberapa negara. Negara-negara yang menjadi sasaran utama mencakup Myanmar, Mongolia, Malaysia, Rusia, dan Pakistan.
Kelompok ini menunjukkan kecanggihan dalam teknik penyebaran malware. Mereka menyebarkan CoolClient melalui perangkat lunak sah dari Sangfor. Sangfor merupakan perusahaan keamanan siber yang berbasis di China. Penggunaan perangkat lunak resmi pihak ketiga sangat efektif untuk menghindari deteksi awal.
Teknik Sideloading dan Penyamaran
CoolClient telah dikaitkan dengan Mustang Panda sejak tahun 2022. Mereka sering menggunakannya bersama malware lain seperti PlugX. Sebelumnya, kelompok peretas ini juga menggunakan teknik sideloading DLL yang sama. Teknik tersebut memanfaatkan aplikasi populer seperti Bitdefender, VLC Media Player, dan Ulead PhotoImpact untuk menyisipkan malware. Taktik ini memperkuat anggapan bahwa Mustang Panda sangat mahir dalam penyamaran.
Fitur Ganas CoolClient: Mampu Curi Data Login
Varian baru CoolClient membawa peningkatan fitur yang signifikan. Malware ini kini bertindak sebagai infostealer yang sangat berbahaya. Infostealer ini secara khusus menargetkan browser berbasis Chromium.
Menurut laporan Bleeping Computer, versi terbaru CoolClient mampu melakukan empat hal utama:
1. Pencurian Kredensial: Mencuri data login dari browser seperti Google Chrome dan Microsoft Edge.
2. Pemantauan Clipboard: Melacak isi clipboard, yang sering kali berisi kata sandi atau informasi sensitif yang baru disalin.
3. Pelacakan Jendela Aktif: Memantau program atau jendela apa yang sedang dibuka oleh korban.
4. Pengumpulan Informasi Sistem: Mengumpulkan detail perangkat, konfigurasi jaringan, dan data sistem operasi.
Untuk memastikan keberadaannya, malware bekerja secara bertahap. CoolClient memodifikasi Registry Windows, menambahkan layanan Windows baru, dan membuat tugas terjadwal. Selain itu, varian terbaru ini juga dilaporkan digunakan untuk menyebarkan rootkit baru yang belum terdeteksi sebelumnya.
Taktik Penghindaran Deteksi Terbaru
Salah satu peningkatan paling cerdik adalah mekanisme pengiriman data curian. Malware kini memanfaatkan token API dari layanan sah. Mereka menggunakan layanan populer seperti Google Drive dan Pixeldrain.
CoolClient mengirimkan data curian melalui API ini. Akibatnya, sistem keamanan sangat sulit membedakan transfer data berbahaya dari lalu lintas jaringan yang sah. Perluasan ekosistem plugin juga memberi pelaku kontrol penuh atas sistem. Fitur ini mencakup shell jarak jauh dan manajemen layanan Windows tingkat lanjut.
Ancaman Strategis Jangka Panjang
Pembaruan CoolClient oleh Mustang Panda menunjukkan bahwa kelompok ini terus berinvestasi besar dalam kemampuan operasionalnya. Kelompok ini tidak hanya mengandalkan CoolClient. Dalam beberapa bulan terakhir, mereka juga terlibat dalam penyebaran backdoor lain, ToneShell, melalui loader mode kernel.
Oleh karena itu, lembaga keamanan siber wajib meningkatkan kewaspadaan. Biro Keamanan Nasional Taiwan bahkan telah menggolongkan Mustang Panda sebagai salah satu ancaman siber paling aktif dan berbahaya. Peningkatan kemampuan pencurian kredensial ini secara langsung mengancam integritas infrastruktur penting yang menjadi target mereka. Lembaga pemerintah harus segera memperkuat pertahanan jaringan dan menerapkan autentikasi multifaktor untuk mencegah kebocoran data sensitif yang disebabkan oleh serangan siber canggih ini.
