卡巴斯基全球研究与分析团队（GReAT）专家发现，，HoneyMyte 高级持续性威胁（APT）组织通过新增功能增强了CoolClient后门程序，部署了多种浏览器登录数据窃取变种，并利用多个脚本实施数据窃取与侦察活动。该 APT 组织的最新活动针对缅甸、蒙古、马来西亚、泰国和俄罗斯，尤其以政府部门为重点目标。

　　卡巴斯基专家在多起 HoneyMyte 攻击活动中观察到的最新版 CoolClient 后门，经常作为辅助后门与 PlugX 和 LuminousMoth 并用。该后门主要依赖DLL侧加载机制执行，需要一个合法的、经过数字签名的可执行文件来加载恶意DLL。 2021 年至 2025 年间，威胁行为者滥用了来自多个合法软件产品的签名二进制文件。新版后门新增了剪贴板监控与活动窗口追踪功能：可捕获剪贴板内容及当前活动窗口的标题、进程ID与时间戳，使攻击者能够追踪用户活动并获取复制数据的上下文信息。

　　CoolClient还新增了从网络流量中提取HTTP代理凭证的功能，这是一种在 HoneyMyte 恶意软件中新观察到的技术。研究还识别出多个正在被使用的CoolClient插件，表明该工具支持通过定制插件扩展功能。在多起间谍活动中，HoneyMyte 使用脚本收集系统信息、窃取文档并窃取浏览器中存储的凭据。该威胁组织在攻击后渗透阶段还使用了新版Chrome凭证窃取恶意软件，其代码与ToneShell攻击活动中的样本存在显著相似性。

　　“凭借键盘记录、剪贴板监控、代理凭据窃取、文档外泄、浏览器凭据收集和大规模文件窃取等能力，主动监视现在已成为 APT 攻击手册中的标准策略，其威胁程度与数据外泄、持久驻留等传统威胁相当，需要同等程度的防范准备和主动防御，”卡巴斯基全球研究与分析团队（GReAT）安全研究员Fareed Radzi表示。

　　有关该威胁的更多详情请参阅Securelist。

　　为防范HoneyMyte及其他APT攻击，建议组织遵循以下最佳实践：

　　· 保持高度警惕，提防 HoneyMyte 工具集（包括 CoolClient 后门）的部署，同时还要防范 PlugX、ToneShell、Qreverse 和 LuminousMoth 等相关恶意软件家族。

　　· 为了保护公司免受各种威胁侵害，请使用卡巴斯基Next产品线中的解决方案。这些解决方案提供实时保护、威胁可见性、调查以及 EDR 和 XDR 的响应能力，适用于任何规模和行业的组织。根据您当前的需求和可用资源，您可以选择最适合的产品层级；如果您的网络安全需求发生变化，可以轻松迁移到其他层级。

　　· 采用卡巴斯基的托管安全服务，如入侵评估、托管检测与响应和/或事件响应服务，这些服务覆盖从威胁识别到持续防护与修复的完整事件管理周期。即使企业缺乏网络安全专业人员，此类服务也能有效防御规避性网络攻击、协助事件调查，并提供专业的技术支持。

　　· 为您的信息安全专业人员提供针对组织所受网络威胁的深度洞察能力。最新的卡巴斯基威胁情报将为他们提供贯穿整个事件管理周期的丰富而有意义的背景信息，并帮助他们及时识别网络风险。

　　关于全球研究与分析团队

　　全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 35 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

　　关于卡巴斯基

　　卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。