Un grupo de hackers chino conocido como Mustang Panda utilizó un controlador de rootkit en modo kernel previamente no documentado para ofrecer una nueva variante de una puerta trasera llamada TONESHELL en un ciberataque detectado dirigido a organizaciones no especificadas en Asia a mediados de 2025.
Los hallazgos, publicados por Kaspersky Lab, observaron nuevas variantes de puerta trasera en operaciones de ciberespionaje por parte de grupos de piratas informáticos dirigidos a agencias gubernamentales en el sudeste y este de Asia, principalmente Myanmar y Tailandia.
«Los archivos de los controladores están firmados con certificados digitales obsoletos, robados o filtrados y se registran como controladores de minifiltro en las máquinas infectadas», dijo la firma rusa de ciberseguridad. «Su objetivo final es inyectar un troyano de puerta trasera en los procesos del sistema para proteger archivos maliciosos, procesos en modo de usuario y claves de registro».
La carga útil final implementada como parte del ataque es TONESHELL, un implante con shell inverso y funcionalidad de descarga que recupera la siguiente etapa del malware en el host comprometido. Se cree que Mustang Panda utiliza TONESHELL desde al menos finales de 2022.
En septiembre de 2025, este actor de amenazas se asoció con ataques dirigidos a empresas en Tailandia con TONESHELL y un gusano USB llamado TONEDISK (también conocido como WispRider) que utilizaba dispositivos extraíbles como vector de distribución para una puerta trasera llamada Yokai.
Se dice que la infraestructura de comando y control (C2) utilizada para TONESHELL se construyó en septiembre de 2024, pero hay indicios de que la campaña en sí no comenzó hasta febrero de 2025. La ruta de acceso inicial exacta utilizada en el ataque no está clara. Se sospecha que los atacantes explotan máquinas previamente comprometidas para implementar controladores maliciosos.
El archivo del controlador («ProjectConfiguration.sys») está firmado con un certificado digital de Guangzhou Kingteller Technology Co., Ltd, una empresa china involucrada en la venta y suministro de cajeros automáticos (ATM). El certificado tuvo validez desde agosto de 2012 hasta 2015.
Dada la existencia de otros artefactos maliciosos no relacionados firmados con el mismo certificado digital, evaluamos que el atacante probablemente aprovechó un certificado filtrado o robado para lograr sus objetivos. El controlador malicioso incluye dos códigos shell en modo de usuario incrustados en la sección .data del binario. Estos se ejecutan como subprocesos separados en modo de usuario.
«La funcionalidad rootkit protege tanto los propios módulos del controlador como el proceso en modo de usuario donde se inyecta el código de puerta trasera, impidiendo el acceso de cualquier proceso en el sistema», dijo Kaspersky.
El controlador tiene el siguiente conjunto de características:
Resuelve dinámicamente la API del kernel requerida en tiempo de ejecución utilizando un algoritmo hash que coincide con la dirección de API requerida. Supervisa las operaciones de eliminación y cambio de nombre de archivos para garantizar que el archivo en sí no se elimine ni se cambie de nombre. Rechace los intentos de crear o abrir claves de registro que coincidan con la lista protegida configurando la rutina RegistryCallback y asegurándose de que se ejecute a una altitud de 330024 o superior. WdFilter.sys, el controlador de Microsoft Defender, y cámbielo a cero (el valor predeterminado es 328010). Esto evita que se cargue en la pila de E/S. Suspende las operaciones relacionadas con procesos y niega el acceso si la acción tiene como objetivo un proceso en la lista de ID de procesos protegidos en ejecución. Una vez que se complete la ejecución, elimine la protección rootkit para esos procesos.
«Microsoft especifica que el rango avanzado para el grupo de orden de carga de FSFilter Anti-Virus es de 320000 a 329999», explicó Kaspersky. «La altitud elegida por el malware excede este rango. Los filtros de baja altitud se encuentran en lo profundo de la pila de E/S, lo que permite a los controladores maliciosos interceptar operaciones de archivos y eludir los controles de seguridad antes que los filtros legítimos de baja altitud, como los componentes antivirus».
En última instancia, el controlador está diseñado para eliminar dos cargas útiles en modo de usuario, una de las cuales genera un proceso «svchost.exe» e inyecta un código shell que provoca un pequeño retraso. La segunda carga útil es una puerta trasera TONESHELL que se inyecta en el mismo proceso «svchost.exe».
Una vez iniciada, la puerta trasera utiliza un canal de comunicación para establecer una conexión vía TCP en el puerto 443 con un servidor C2 (‘avocadomechanism(.)com’ o ‘poterbreference(.)com’) para recibir comandos que le permitan:
Crear un archivo temporal para los datos entrantes (0x1) Descargar el archivo (0x2 / 0x3) Cancelar la descarga (0x4) Establecer un shell remoto a través de una tubería (0x7) Recibir el comando del operador (0x8) Salir del shell (0x9) Cargar el archivo (0xA / 0xB) Cancelar la carga (0xC), cerrar la conexión (0xD)
Este desarrollo marca la primera vez que TONSHELL se entrega a través de un cargador en modo kernel, ocultando efectivamente sus actividades de las herramientas de seguridad. Nuestros hallazgos indican que este controlador es la última incorporación a un conjunto más amplio y en evolución de herramientas que Mustang Panda utiliza para mantener la persistencia y ocultar puertas traseras.
Debido a que el shellcode se ejecuta completamente en la memoria, la análisis forense de la memoria es clave para analizar nuevas infecciones de TONESHELL, dijo Kaspersky, señalando que la detección del shellcode inyectado es un indicador clave de la presencia de una puerta trasera en un host comprometido.
«Las operaciones de HoneyMyte en 2025 verán una evolución significativa en la implementación de ToneShell utilizando inyectores en modo kernel, mejorando tanto el sigilo como la resiliencia», concluye la compañía.
«Para ocultar aún más su actividad, el controlador primero implementa un pequeño componente en modo de usuario que maneja el paso de inyección final. También utiliza múltiples técnicas de ofuscación, rutinas de devolución de llamadas y mecanismos de notificación para ocultar el uso de API, rastrear el proceso y la actividad del registro y, en última instancia, fortalecer las defensas de puerta trasera».
Source link
