تواصل مجموعة HoneyMyte، المعروفة أيضًا باسم Mustang Panda، تشكيل تهديد كبير للمنظمات الحكومية في آسيا وأوروبا. كشفت أبحاث أمنية حديثة أن هذه المجموعة تستمر في تحديث ترسانتها الرقمية بنسخ محسنة من برامج خبيثة مصممة لسرقة المعلومات الحساسة.
تتركز عمليات المجموعة بشكل خاص في جنوب شرق آسيا، حيث تظل الوكالات الحكومية الأهداف الرئيسية لحملاتها المتطورة. في عام 2025، قام المحللون الأمنيون برصد تطوير ملحوظ في أدوات HoneyMyte، بما في ذلك تحسينات كبيرة على برمجيات CoolClient الخبيثة.
تحديثات HoneyMyte لبرنامج CoolClient الخبيث
بالإضافة إلى ترقيات CoolClient، قامت المجموعة بنشر العديد من النسخ المتخصصة من برامج سرقة بيانات تسجيل الدخول للمتصفحات، واستخدمت نصوصًا متعددة لجمع المستندات السرية وتفاصيل النظام. هذا التطور يعكس التزام المجموعة بتطوير أدوات أكثر فعالية لاستخراج البيانات القيمة من الشبكات المخترقة.
وفقًا لمحللي Securelist، تعمل البرمجيات الخبيثة من خلال نظام توصيل متعدد المراحل يعتمد على تقنية DLL sideloading. هذه التقنية تسمح باختطاف ملفات البرامج الشرعية لتحميل التعليمات البرمجية الضارة.
تأثير الـ DLL sideloading
لوحظت هذه البرمجيات الخبيثة في دول تشمل ميانمار، ومنغوليا، وماليزيا، وروسيا، وباكستان. بين عامي 2021 و 2025، استغلت HoneyMyte تطبيقات شرعية من بائعين مثل BitDefender، و VLC Media Player، و Sangfor لتنفيذ حمولتها الخبيثة.
من جهة أخرى، تظهر التطورات الأخيرة قلقًا خاصًا بشأن أداة سرقة بيانات اعتماد المتصفح الجديدة من HoneyMyte. تستهدف هذه الأداة بشكل خاص معلومات تسجيل الدخول المخزنة في المتصفحات الشهيرة.
قامت المجموعة بنشر ثلاثة أنواع على الأقل من هذه الأداة في حملات مختلفة. النوع A يستهدف Google Chrome، والنوع B يركز على Microsoft Edge، والنوع C يدعم متصفحات متعددة مبنية على Chromium مثل Brave و Opera.
سرقة بيانات الاعتماد من المتصفحات
هذه المرونة تسمح للمهاجمين بجمع بيانات الاعتماد بغض النظر عن المتصفح الذي يفضله المستخدمون على الأجهزة المخترقة. تعمل الأداة عن طريق نسخ قاعدة بيانات تسجيل الدخول وملفات التكوين للمتصفح المستهدف إلى مجلدات مؤقتة، ثم استخدام ميزات أمان Windows لفك تشفير كلمات المرور المخزنة.
تقوم البرمجية الخبيثة باستخراج مفاتيح التشفير الرئيسية من ملفات المتصفح، وفك تشفيرها باستخدام دوال Windows Data Protection API، ثم إعادة بناء سجلات تسجيل دخول كاملة تحتوي على أسماء المستخدمين وكلمات المرور. بعد تجميع هذه المعلومات الحساسة، تقوم البرمجية الخبيثة بحفظ بيانات الاعتماد التي تم جمعها في مجلدات النظام المخفية لإرسالها لاحقًا إلى خوادم يسيطر عليها المهاجمون.
هذه القدرة، بالإضافة إلى ميزات أخرى مثل تسجيل ضغطات المفاتيح ومراقبة الحافظة، تكشف عن انتقال HoneyMyte نحو المراقبة النشطة لأنظمة الضحايا بعد تجاوز أهداف التجسس التقليدية. يجب على المؤسسات العاملة في القطاعات الحكومية تطبيق تدابير كشف قوية والحفاظ على مراقبة يقظة للكشف عن علامات الإصابة ببرنامج CoolClient الخبيث، ونشاط أدوات سرقة المتصفحات، وعائلات البرامج الخبيثة ذات الصلة التي يستخدمها هذا الفاعل السيبراني المصمم.