Vulnerabilidades en n8n, ataques estatales vía WinRAR y espionaje de Mustang Panda con COOLCLIENT
29 de January de 2026Ciberespionaje de élite: Mustang Panda despliega una versión avanzada de su "backdoor" contra gobiernos
El grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como Mustang Panda (también identificado como Earth Preta o HoneyMyte), ha intensificado sus operaciones de espionaje mediante el uso de una versión actualizada de su sofisticada puerta trasera (backdoor) denominada COOLCLIENT.
Un reciente informe de Kaspersky revela que el grupo ha perfeccionado sus herramientas para llevar a cabo un robo de datos masivo, apuntando principalmente a entidades gubernamentales en Rusia, Mongolia, Myanmar y Malasia.
Evolución técnica: Más que un simple robo de documentos
La nueva variante de COOLCLIENT no solo permite la extracción de archivos, sino que ha sido diseñada para una vigilancia total del usuario infectado. Entre sus capacidades más críticas se encuentran:
Monitoreo en tiempo real: Captura de pulsaciones de teclas (keylogging), vigilancia del portapapeles y monitoreo de ventanas activas.
Gestión de archivos y sistemas: Capacidad para crear, mover y eliminar archivos, además de ejecutar comandos remotos a través de una consola (shell).
Robo de credenciales: Uso de herramientas específicas para extraer contraseñas guardadas en navegadores basados en Chromium (como Google Chrome y Microsoft Edge) e incluso el robo de "cookies" de sesión de Firefox, las cuales son enviadas directamente a cuentas de Google Drive controladas por los atacantes.
Tácticas de evasión: El abuso de software legítimo
Para evitar ser detectado por las soluciones de seguridad, Mustang Panda continúa perfeccionando la técnica de DLL Side-Loading. Este método consiste en utilizar ejecutables legítimos y firmados digitalmente (de empresas como Bitdefender, VLC Media Player o Sangfor) para cargar archivos maliciosos ocultos.
Al "disfrazar" su actividad dentro de procesos confiables del sistema, los atacantes logran permanecer en las redes gubernamentales durante años sin ser descubiertos. En ataques recientes detectados entre 2024 y 2025, el grupo incluso llegó a desplegar un rootkit inédito hasta la fecha para profundizar su control sobre los sistemas afectados.
Un cambio en la estrategia de espionaje
Los investigadores señalan que estas campañas marcan un giro hacia la "vigilancia activa". Ya no se trata solo de infiltrarse para copiar planes estratégicos, sino de mantener un monitoreo constante sobre la actividad diaria de los funcionarios gubernamentales.
"Las capacidades de estas herramientas indican una transición hacia la vigilancia intrusiva", afirmaron analistas de Kaspersky. La infraestructura de Mustang Panda ahora incluye una compleja red de servidores de comando y control (C2) que operan sobre protocolos TCP para recibir datos robados en tiempo real.
Contexto geopolítico
Mustang Panda es uno de los grupos de ciberespionaje más activos del mundo, conocido por alinear sus objetivos con los intereses estratégicos de China. La reciente inclusión de objetivos en Rusia, tradicional aliado de Pekín, junto con naciones del sudeste asiático, subraya la naturaleza pragmática y persistente de sus operaciones de recolección de inteligencia.
Se recomienda a las organizaciones gubernamentales y sectores de infraestructura crítica reforzar el monitoreo de procesos firmados que cargan bibliotecas dinámicas (DLL) inusuales y aplicar políticas de seguridad estrictas en el uso de navegadores web en equipos sensibles.