Mustang Panda: Cyber-Spionage mit neuem CoolClient-Trojaner

Eine mutmaßlich aus China operierende Hackergruppe hat ihren Schadsoftware-Angriff auf Regierungen und Telekommunikationsunternehmen massiv ausgeweitet. Der aktualisierte ‚CoolClient‘-Trojaner stiehlt nun Browser-Passwörter und Zwischenablage-Inhalte und bedroht damit auch sensible Verbraucherdaten in Europa und Asien.

Die als Mustang Panda bekannte, mutmaßlich staatlich unterstützte Hackergruppe hat ihre Cyber-Spionagekampagne deutlich intensiviert. Sicherheitsforscher von Kaspersky beobachten eine neue, gefährlichere Version des seit 2022 aktiven CoolClient-Backdoors. Dieser Trojaner zielt gezielt auf Regierungsbehörden und Telekommunikationsunternehmen ab – mit klarem Fokus auf Malaysia, die Mongolei, Myanmar, Pakistan und Russland. Doch die Bedrohung reicht weiter: Erhobene Daten aus Telekom- und Regierungsnetzwerken bergen erhebliche Risiken auch für europäische Bürger.

Was macht die neue Version so gefährlich? Sie kann gespeicherte Login-Daten aus Google Chrome, Microsoft Edge und anderen Chromium-Browsern auslesen. Zusätzlich überwacht sie permanent die Zwischenablage. So erbeuten die Angreifer nicht nur Passwörter, sondern auch kopierte Finanzdaten, persönliche Nachrichten und andere vertrauliche Informationen. In einigen Fällen setzten die Hacker sogar einen bisher unbekannten Rootkit ein – ein Alarmsignal für ein extrem tiefes Eindringen in die Systeme.

Viele Unternehmen sind auf moderne Spionagewerkzeuge wie „CoolClient“ nicht ausreichend vorbereitet. Staatlich unterstützte Gruppen kombinieren Phishing, DLL‑Side‑Loading und Rootkits, um Browser‑Passwörter und Zwischenablage‑Daten zu erbeuten. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ erklärt praxisnah, welche Schutzmaßnahmen heute wirklich wirken – von Endpoint‑Detection (EDR) über Multi‑Faktor‑Authentifizierung (MFA) bis zu gezielten Mitarbeiterschulungen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Tarnung durch legale Software

Die Angreifer nutzen eine raffinierte Tarnmethode: DLL Side-Loading. Dabei platzieren sie eine schädliche DLL-Datei im selben Verzeichnis wie eine vertrauenswürdige, signierte Anwendung. Startet ein Nutzer das legale Programm – etwa von VLC Media Player oder Sicherheitssoftware von Bitdefender – lädt es unbeabsichtigt den Schadcode mit. Die Sicherheitssoftware erkennt die Gefahr nicht, weil sie der signierten Hauptanwendung vertraut.

Seit 2024 missbraucht Mustang Panda besonders häufig Software des chinesischen Anbieters Sangfor, der auf Cybersecurity und Cloud-Lösungen spezialisiert ist. Diese Masche ist effektiv: Sie umgeht erste Sicherheitskontrollen und verschafft den Hackern einen Fuß in der Tür. Von dort aus liefern sie den CoolClient-Trojaner nach.

Warum auch Verbraucher betroffen sind

Die direkten Ziele sind zwar Regierungen und Telekommunikationsunternehmen. Doch die Konsequenzen treffen indirekt auch Bürger und Verbraucher. Warum? Diese Organisationen verwalten enorme Mengen sensibler Daten: von geheimen Regierungsdokumenten über persönliche Identifikationsinformationen bis hin zu Telekom-Kundendaten.

Wird ein Mitarbeiter-Laptop kompromittiert, erbeuten die Hacker nicht nur dessen berufliche Zugänge. Oft nutzen Angestellte dieselben Geräte auch privat – die gestohlenen Browser-Passwörter öffnen dann Tür und Tor zu privaten E-Mail-Konten, Social-Media-Profilen oder Online-Banking. Die Grenze zwischen organisatorischer und persönlicher Sicherheit verschwimmt.

Ein strategischer Wandel mit klarer Botschaft

Die Entwicklung von CoolClient folgt einem klaren Trend: Staatlich unterstützte Hacker verfeinern ihre Werkzeuge für mehr Heimlichkeit und Effizienz. Der Fokus auf das Stehlen von Browser-Zugangsdaten ist strategisch. Mit erbeuteten Logins können sich Angreifer lateral in Netzwerken bewegen, Cloud-Dienste kapern und an wertvolle Intelligenz gelangen – schneller und unauffälliger als mit traditionellen Methoden.

Mustang Panda demonstriert damit erneut seine Anpassungsfähigkeit. Die Gruppe ist für gezielte Phishing-Kampagnen bekannt, die aktuelle politische Themen als Köder nutzen. Ihr anhaltender Erfolg mit DLL Side-Loading zeigt die immense Herausforderung für Verteidiger: Wie erkennt man bösartigen Code, der sich hinter legitimer Software versteckt?

Höchste Alarmstufe für kritische Sektoren

Die Lage bleibt angespannt. Der Einsatz eines neuartigen Rootkits deutet darauf hin, dass Mustang Panda mit noch ausgefeilteren Methoden experimentiert, um unentdeckt zu bleiben. Für betroffene Sektoren – insbesondere Regierung und Telekommunikation – gilt daher höchste Wachsamkeit.

Sicherheitsexperten empfehlen eine mehrschichtige Verteidigungsstrategie. Dazu gehören:
* Robuste Endpoint Detection and Response (EDR)-Lösungen, die verdächtige Prozessaktivitäten durch DLL Side-Loading erkennen.
* Die strikte Durchsetzung von Multi-Faktor-Authentifizierung (MFA) für alle Dienste, um den Schaden gestohlener Passwörter zu begrenzen.
* Kontinuierliche Mitarbeiterschulungen zur Phishing-Erkennung, da die erste Infektion oft auf Social Engineering basiert.

Die anhaltende Aktivität von Mustang Panda ist eine deutliche Warnung: Der Cyber-Spionagekrieg gegen kritische Infrastrukturen weltweit wird nicht nur fortgesetzt – er wird immer ausgeklügelter.

PS: Schutzlücken bei Login‑Daten und Zwischenablagen schließen Sie am effektivsten mit klaren Prioritäten. Der Gratis‑Leitfaden „Cyber Security Awareness Trends“ liefert eine 30‑Tage‑Prioritätenliste für IT‑Verantwortliche: Erkennung von DLL‑Side‑Loading, Abwehr gezielter Phishing‑Kampagnen, sichere Browser‑Konfigurationen und sofort umsetzbare Schritte für Mitarbeiterschulungen. Kostenloser Sofort‑Download inklusive Checklisten. Jetzt kostenlosen Leitfaden sichern