Uma nova amostra do backdoor ToneShell, frequentemente associada a campanhas de ciberespionagem chinesas, foi detectada sendo entregue por meio de um loader em modo kernel em ataques contra organizações governamentais.
O backdoor está ligado ao grupo Mustang Panda, também conhecido como HoneyMyte ou Bronze President, reconhecido por atacar órgãos governamentais, ONGs, think tanks e outras entidades de alto perfil ao redor do mundo.
Pesquisadores da Kaspersky analisaram um driver malicioso encontrado em sistemas na Ásia e identificaram seu uso em campanhas desde, pelo menos, fevereiro de 2025, contra governos em Mianmar, Tailândia e outras regiões asiáticas.
As evidências indicam que as vítimas já apresentavam infecções prévias com variantes antigas do ToneShell, do malware PlugX ou do worm USB ToneDisk, todos atribuídos a hackers estatais chineses.
Segundo a Kaspersky, a nova versão do ToneShell foi implantada por um driver mini-filter chamado ProjectConfiguration.sys, assinado com um certificado roubado ou vazado, válido entre 2012 e 2015, emitido para a empresa Guangzhou Kingteller Technology Co., Ltd.
Mini-filters são drivers em modo kernel que se conectam à pilha de I/O do sistema de arquivos do Windows, podendo inspecionar, modificar ou bloquear operações relacionadas a arquivos.
Eles são frequentemente usados por softwares de segurança, criptografia e ferramentas de backup.
O ProjectConfiguration.sys incorpora dois shellcodes em modo usuário em sua seção .data, executados como threads separadas que são injetadas em processos do modo usuário.
Para dificultar análises estáticas, o driver resolve as APIs do kernel necessárias em tempo de execução, enumerando módulos do kernel carregados e comparando hashes de funções, em vez de importá-las diretamente.
Ele se registra como mini-filter e intercepta operações relacionadas à exclusão e renomeação de arquivos.
Quando essas operações têm como alvo o próprio driver, são bloqueadas, fazendo a requisição falhar.
Além disso, o driver protege as chaves de registro associadas ao seu serviço, registrando callbacks na registry para negar tentativas de criação ou acesso a essas entradas.
Para garantir prioridade sobre produtos de segurança, ele usa uma altitude de mini-filter acima da faixa reservada aos antivírus.
O rootkit também interfere no funcionamento do Microsoft Defender ao modificar a configuração do driver WdFilter, impedindo que ele seja carregado na pilha de I/O.
Para proteger as cargas executadas em modo usuário, o driver mantém uma lista de IDs de processos protegidos, nega acesso a handles desses processos durante a execução dos payloads e remove essa proteção ao final.
“Esta é a primeira vez que vemos o ToneShell sendo entregue por um loader em modo kernel, o que oferece proteção contra monitoramento em modo usuário e aproveita as capacidades do rootkit para ocultar sua atividade de ferramentas de segurança”, afirma a Kaspersky.
A nova variação do backdoor apresenta mudanças e melhorias em suas técnicas de stealth.
Agora, utiliza um esquema de identificação do host baseado em um ID de 4 bytes, substituindo o GUID de 16 bytes usado anteriormente, além de empregar ofuscação no tráfego de rede com cabeçalhos TLS falsos.
Entre os comandos remotos suportados pelo backdoor estão:
- 0x1 — Criar arquivo temporário para dados recebidos
- 0x2 / 0x3 — Download de arquivo
- 0x4 — Cancelar download
- 0x7 — Estabelecer shell remoto via pipe
- 0x8 — Receber comando do operador
- 0x9 — Finalizar shell
- 0xA / 0xB — Upload de arquivo
- 0xC — Cancelar upload
- 0xD — Fechar conexão
A Kaspersky destaca que a análise forense da memória é fundamental para identificar infecções pelo ToneShell com essa nova técnica de injeção em modo kernel.
Os pesquisadores têm alta confiança na atribuição dessa amostra ao Mustang Panda, que parece ter evoluído suas táticas, técnicas e procedimentos para aumentar o stealth operacional e a resiliência.
Em seu relatório, a Kaspersky fornece uma lista resumida de indicadores de comprometimento (IoCs) para ajudar organizações a identificar e se proteger contra intrusões do grupo Mustang Panda.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...