Эксперты Лаборатории Касперского сообщают, что китайская APT-группа HoneyMyte, известная также как Mustang Panda и Bronze President, продолжает кибершпионаж и обновляет инструменты. В последних кампаниях исследователи увидели новую версию бэкдора CoolClient с расширенными возможностями слежения, несколько вариантов стилеров для кражи учетных данных из браузеров, а также набор скриптов для разведки и массового сбора документов на зараженных машинах.
HoneyMyte давно известна как группа, которая предпочитает проверенный набор бэкдоров и загрузчиков и активно работает против госструктур. География за последние годы в основном тянется к Юго-Восточной Азии и Европе, при этом больше всего атак приходится на страны ЮВА. В инструментарии группы регулярно встречались ToneShell, PlugX, Qreverse и CoolClient, а также USB-черви Tonedisk и SnakeDisk.
В 2025 году они зафиксировали, что CoolClient получил новую функциональность, а вместе с ним появилось несколько отдельных утилит, которые вытаскивают сохраненные пароли из Chrome и Microsoft Edge. Исследователи Касперского отмечают, что варианты обновленного CoolClient содержат одинаковый вредоносный код и работают через одну инфраструктуру, но распространяются под разными именами издателей. Это типичная для APT техника, когда внешняя оболочка меняется, а внутренний механизм остается тем же.
Схема доставки тоже знакомая по прошлым кампаниям. CoolClient обычно приходит в комплекте с зашифрованными файлами загрузчиков, где внутри лежат конфигурация, шелл-код и DLL-модули следующего этапа, которые работают в памяти. Для запуска часто используют подмену загрузки DLL. В этом случае нужен легитимный подписанный исполняемый файл, который подхватит вредоносную библиотеку из своей папки. По данным Касперского, в период с 2021 по 2025 год HoneyMyte использовала подписанные исполняемые файлы от разных продуктов, включая BitDefender, VLC Media Player, Ulead PhotoImpact и решения Sangfor. Это помогает проходить первичные проверки и выглядит как запуск обычного софта.
CoolClient стал ближе к активной слежке
Базовые возможности бэкдора никуда не делись. Он умеет загружать и удалять файлы, перехватывать нажатия клавиш, строить TCP-туннели, поднимать обратный прокси и подгружать дополнительные модули для выполнения в памяти. Новое в том, что добавились мониторинг буфера обмена и активных окон, а также перехват учетных данных HTTP-прокси.
Функция буфера обмена использует стандартные API GetClipboardData и GetWindowTextW. В результате злоумышленники получают не только то, что пользователь копирует, но и контекст, в каком приложении это произошло, плюс идентификатор процесса и метку времени. Данные шифруются простой XOR-операцией и складываются в файл для последующей отправки на сервер управления.
Перехват учетных данных прокси выглядит еще более прикладным. CoolClient создает отдельные потоки и анализирует необработанный сетевой трафик на каждом локальном IP. Затем ищет признаки прокси-аутентификации, включая заголовки Proxy-Connection и Proxy-Authorization, и вытаскивает учетные данные, закодированные в Base64. Для корпоративных сетей, где прокси это ключевой элемент доступа в интернет, такие учетные данные могут быть очень ценным трофеем.
Стилеры для браузеров и скрипты для выноса документов
Касперский связывает отдельные программы для кражи паролей из Chrome и Edge с активностью HoneyMyte. В одном из расследований подозрительного трафика ToneShell с хоста в Таиланде исследователи увидели загрузку и запуск утилиты, которая вытаскивает сохраненные учетные данные из Chrome. В тот же день была запущена версия под Edge.
Технически это классика для Windows. Вредонос копирует базу Login Data в временный файл, чтобы обойти блокировку, затем делает SQL-запросы и достает URL входа, логины и зашифрованные пароли. После этого читает Local State, извлекает зашифрованный мастер-ключ браузера, расшифровывает его через CryptUnprotectData и получает возможность расшифровать все сохраненные пароли. Результат сохраняется в текстовый файл для отправки злоумышленникам.
Связь с HoneyMyte исследователи обосновывают несколькими признаками. Эти утилиты применялись в кампаниях вместе с ToneShell, который традиционно связывают с этой группой, а также есть сходство кода с инструментами LuminousMoth, которую ранее тоже увязывали с HoneyMyte. В обоих семействах использовались одинаковые подходы к копированию файлов и обработке данных.
Отдельная часть набора это командные скрипты для разведки и массового сбора. Один из описанных скриптов сканирует сеть через nbtscan, собирает информацию systeminfo, вытаскивает данные из реестра, перечисляет автозагрузку и сведения об антивирусе. Все это складывается в log.dat и уходит по FTP на сервер 113.23.212.15. После разведки скрипт переключается на сбор данных: завершает процессы браузеров, упаковывает связанные папки, вытаскивает конфиги FileZilla, архивирует документы со всех дисков через rar.exe и отправляет все туда же. В конце удаляет артефакты, чтобы сократить следы.
Если раньше HoneyMyte часто воспринимали как группу, заточенную под документы и долгую фиксацию в сети, то обновления 2025 года показывают смещение к более активной слежке. Мониторинг буфера обмена, активных окон и прокси-учеток это уже не просто сбор файлов, а попытка видеть, что делает пользователь здесь и сейчас.
Нужно смотреть не только на классические индикаторы вроде подозрительных вложений или неизвестных доменов, но и на поведение легитимных подписанных приложений, которые внезапно начинают тянуть DLL из своей папки. Важно контролировать доступ к прокси и следить за аномалиями в его использовании. И отдельно, внимательно относиться к признакам массового архивирования документов и к неожиданным FTP-сессиям, потому что в описанной схеме именно так уходит основной массив данных.
Касперский рекомендует повышенную настороженность к инструментарию HoneyMyte, включая CoolClient, а также к связанным семействам PlugX, ToneShell, Qreverse и LuminousMoth. Это опытная группа, которая делает ставку на постоянный доступ и высокоценную шпионскую активность, и в 2025 году она явно расширила возможности наблюдения за пользователем, а не только за его файлами.
