Специалисты «Лаборатории Касперского» изучили недавнюю активность APT-группы HoneyMyte. В 2025-2026 годах злоумышленники существенно обновили свой инструментарий: добавили шпионские функции в бэкдор CoolClient, а также начали применять браузерные стилеры и скрипты для кражи учетных данных, документов и системной информации. В число целей группы вошли госсектор и частные компании в России, Мьянме, Монголии, Таиланде и других странах Азии.
Группировка HoneyMyte, говорящая на китайском языке, впервые обнаружена в 2022 году. Эти злоумышленники специализируются на кибершпионаже, а их активность затрагивает Европу и Азию (преимущественно госсектор). Как и другие APT-группировки, HoneyMyte использует сложные инструменты, один из которых — бэкдор CoolClient.
Для запуска вредонос использует технику DLL sideloading: загружает вредоносную библиотеку через подписанные легитимные приложения. В период с 2021 по 2025 год злоумышленники применяли для этого продукты Bitdefender, VLC Media Player и несколько решений компании Sangfor.
Как пишут эксперты, одна из новых возможностей бэкдора — мониторинг буфера обмена. Эта функция позволяет получать его содержимое вместе с заголовком активного окна, идентификатором процесса и текущей временной меткой. Таким образом злоумышленники могут отслеживать поведение пользователя, определять, какие он использует приложения, а также получать контекст для похищенных данных.
Среди других новых функций CoolClient — возможность извлекать учетные данные HTTP-прокси из сетевого трафика. Кроме того, эксперты обнаружили несколько активно используемых плагинов для CoolClient, которые бэкдор может использовать, чтобы расширять свою функциональность. Так, ServiceMgrS.dll управляет системными службами, FileMgrS.dll выполняет файловые операции, а RemoteShellS.dll предоставляет удаленный терминал для выполнения команд.
Также отмечается, что в операциях против госсектора в Мьянме и Таиланде группа использовала новые образцы малвари для кражи данных. В нескольких атаках обнаружены скрипты для сбора информации о системе, извлечения документов и кражи учетных данных, сохраненных в браузере. Помимо этого, злоумышленники применяли стилеры, которые позволяют извлекать учетные данные из браузеров Chrome и Microsoft Edge.
Для эксфильтрации данных хакеры использовали разные каналы, включая FTP-серверы, Google Drive и публичный сервис обмена файлами pixeldrain[.]com.
«Кейлоггинг, мониторинг буфера обмена, кража учетных данных прокси-сервера, извлечение документов, сбор учетных данных из браузера делают активное наблюдение за пользователями стандартной тактикой APT-группы. Чтобы этому противостоять, от организаций тоже нужен высокий уровень подготовки и проактивные меры защиты, которые способны отражать не только традиционные угрозы, такие как обычная эксфильтрация данных и закрепление в системе», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
