Três grupos de ameaças alinhados à China têm atacado uma organização governamental no Sudeste Asiático em uma operação complexa e bem estruturada.
As campanhas envolveram a implantação de diversas famílias de malware, entre elas HIUPAN (também conhecido como USBFect, MISTCLOAK ou U2DiskWatch), PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, Hypnosis Loader e FluffyGh0st.
Essas atividades foram atribuídas aos seguintes clusters:
De junho a agosto de 2025, o Mustang Panda (Stately Taurus) esteve ativo.
Entre março e setembro de 2025, o cluster CL-STA-1048 operou com sobreposição a grupos conhecidos como Earth Estries e Crimson Palace.
Entre abril e agosto de 2025, o cluster CL-STA-1049 esteve em atividade, conectado ao grupo denominado Unfading Sea Haze.
Segundo os pesquisadores Doel Santos e Hiroaki Hara, da Unit 42 da Palo Alto Networks, “esses clusters apresentam sobreposição com campanhas públicas que visam estabelecer acesso persistente.
A semelhança nas táticas, técnicas e procedimentos (TTPs) sugere um alvo comum e possível coordenação entre os grupos.”
No período de 1º de junho a 15 de agosto de 2025, o Mustang Panda utilizou o malware baseado em USB HIUPAN para entregar a backdoor PUBLOAD, empregando uma DLL maliciosa chamada Claimloader.
O uso inicial registrado do Claimloader ocorreu no final de 2022 em ataques contra órgãos governamentais nas Filipinas.
Análises adicionais na rede da vítima revelaram também a presença do backdoor COOLCLIENT, utilizado pelo Mustang Panda há mais de três anos.
Essa ferramenta permite download e upload de arquivos, gravação de keystrokes, tunelamento de pacotes e captura de informações sobre mapeamento de portas.
O arsenal de ferramentas do cluster CL-STA-1048 inclui malwares com comportamento barulhento, como:
EggStremeFuel, uma backdoor leve capaz de gerenciar arquivos, iniciar ou encerrar reverse shell, enviar o IP global atual e atualizar a configuração do C2;
EggStremeLoader, um componente do framework EggStreme lançado pelo EggStremeFuel, que executa 59 comandos para roubo extensivo de dados, incluindo variações que operam via Dropbox para transferência de arquivos;
MASOL RAT (também conhecido como Backdr-NQ), um trojan de acesso remoto com funções para download, upload e execução arbitrária de comandos;
TrackBak, um stealer que coleta logs, dados da área de transferência, informações de rede e arquivos armazenados em drives.
O cluster CL-STA-1049 usa um loader novel chamado Hypnosis Loader, que emprega DLL side-loading para instalar a RAT FluffyGh0st.
O vetor inicial de acesso usado pelos clusters CL-STA-1048 e CL-STA-1049 ainda não foi identificado.
“A convergência desses clusters, todos vinculados a agentes alinhados à China, indica um esforço coordenado para atingir uma meta estratégica comum”, alerta a Unit 42.
“A metodologia dos atacantes revela a intenção de obter acesso persistente e de longo prazo às redes governamentais sensíveis, não simplesmente causar interrupções.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...