Três grupos de ameaças alinhados à China têm atacado uma organização governamental no Sudeste Asiático em uma operação complexa e bem estruturada.
As campanhas envolveram a implantação de diversas famílias de malware, entre elas HIUPAN (também conhecido como USBFect, MISTCLOAK ou U2DiskWatch), PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, Hypnosis Loader e FluffyGh0st.
Essas atividades foram atribuídas aos seguintes clusters:
De junho a agosto de 2025, o Mustang Panda (Stately Taurus) esteve ativo.
Entre março e setembro de 2025, o cluster CL-STA-1048 operou com sobreposição a grupos conhecidos como Earth Estries e Crimson Palace.
Entre abril e agosto de 2025, o cluster CL-STA-1049 esteve em atividade, conectado ao grupo denominado Unfading Sea Haze.
Segundo os pesquisadores Doel Santos e Hiroaki Hara, da Unit 42 da Palo Alto Networks, “esses clusters apresentam sobreposição com campanhas públicas que visam estabelecer acesso persistente.
A semelhança nas táticas, técnicas e procedimentos (TTPs) sugere um alvo comum e possível coordenação entre os grupos.”
No período de 1º de junho a 15 de agosto de 2025, o Mustang Panda utilizou o malware baseado em USB HIUPAN para entregar a backdoor PUBLOAD, empregando uma DLL maliciosa chamada Claimloader.
O uso inicial registrado do Claimloader ocorreu no final de 2022 em ataques contra órgãos governamentais nas Filipinas.
Análises adicionais na rede da vítima revelaram também a presença do backdoor COOLCLIENT, utilizado pelo Mustang Panda há mais de três anos.
Essa ferramenta permite download e upload de arquivos, gravação de keystrokes, tunelamento de pacotes e captura de informações sobre mapeamento de portas.
O arsenal de ferramentas do cluster CL-STA-1048 inclui malwares com comportamento barulhento, como:
EggStremeFuel, uma backdoor leve capaz de gerenciar arquivos, iniciar ou encerrar reverse shell, enviar o IP global atual e atualizar a configuração do C2;
EggStremeLoader, um componente do framework EggStreme lançado pelo EggStremeFuel, que executa 59 comandos para roubo extensivo de dados, incluindo variações que operam via Dropbox para transferência de arquivos;
MASOL RAT (também conhecido como Backdr-NQ), um trojan de acesso remoto com funções para download, upload e execução arbitrária de comandos;
TrackBak, um stealer que coleta logs, dados da área de transferência, informações de rede e arquivos armazenados em drives.
O cluster CL-STA-1049 usa um loader novel chamado Hypnosis Loader, que emprega DLL side-loading para instalar a RAT FluffyGh0st.
O vetor inicial de acesso usado pelos clusters CL-STA-1048 e CL-STA-1049 ainda não foi identificado.
“A convergência desses clusters, todos vinculados a agentes alinhados à China, indica um esforço coordenado para atingir uma meta estratégica comum”, alerta a Unit 42.
“A metodologia dos atacantes revela a intenção de obter acesso persistente e de longo prazo às redes governamentais sensíveis, não simplesmente causar interrupções.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...