Die Mustang-Panda-Aktivitäten wurden laut Unit 42 zwischen dem 1. Juni und dem 15. August 2025 beobachtet. Dabei nutzten die Angreifer die über USB verbreitete Schadsoftware HIUPAN, um die Backdoor PUBLOAD auszuliefern. Als Werkzeug diente eine manipulierte DLL mit dem Codenamen Claimloader. Den ersten dokumentierten Einsatz von Claimloader datieren die Forscher auf Ende 2022, damals bei Angriffen auf Regierungsorganisationen auf den Philippinen.
Die weitere Analyse des betroffenen Netzwerks förderte zudem COOLCLIENT zutage, eine weitere Backdoor, die Mustang Panda seit mehr als drei Jahren zugeschrieben wird. Sie ermöglicht das Herunter- und Hochladen von Dateien, das Aufzeichnen von Tastatureingaben, das Tunneln von Datenpaketen sowie das Auslesen von Port-Zuordnungen.
Die unter der Bezeichnung CL-STA-1048 erfassten Aktivitäten zeichnen sich nach Angaben der Forscher durch ein auffälliges, „lautes" Vorgehen mit wechselnden Werkzeugen aus. Der dritte Cluster, CL-STA-1049, setzte hingegen einen neuartigen DLL-Loader namens Hypnosis Loader ein. Dieser wird über DLL-Side-Loading gestartet und installiert schließlich den Fernzugriffstrojaner FluffyGh0st. Wie sich CL-STA-1048 und CL-STA-1049 den ersten Zugang verschafften, ist bislang unklar.
Nach Einschätzung von Unit 42 überschneiden sich die Aktivitätscluster mit öffentlich berichteten Kampagnen, die auf dauerhaften Zugang abzielen. Die Konvergenz der drei Cluster, die allesamt Verbindungen zu bekannten China-nahen Akteuren aufweisen, verweise auf eine koordinierte Anstrengung mit einem gemeinsamen strategischen Ziel. Das Vorgehen der Angreifer deute darauf hin, dass sie langfristigen, beständigen Zugriff auf sensible Regierungsnetzwerke anstrebten und nicht bloß Störungen verursachen wollten.
