Il gruppo di hacking cinese noto come Mustang Panda ha utilizzato un driver di rootkit in modalità kernel non documentato precedentemente per utilizzare una nuova variante di backdoor denominata TONESHELL in un attacco informatico rilevato a metà 2025 contro un’entità non specificata in Asia. Le scoperte provengono da Kaspersky, che ha osservato la nuova variante di backdoor nelle campagne di spionaggio informatico condotte dal gruppo di hacking contro organizzazioni governative nel Sud-Est e nell’Est asiatico, principalmente in Myanmar e in Thailandia.
Caratteristiche del driver
Il file del driver è firmato con un certificato digitale vecchio, rubato o perso di Guangzhou Kingteller Technology Co., Ltd, un’azienda cinese coinvolta nella distribuzione e nella fornitura di sportelli automatici (ATM). Il certificato era valido dal 2012 al 2015. Il driver è progettato per iniettare un trojan backdoor nei processi di sistema e fornire protezione ai file malintenzionati, ai processi in modalità utente e alle chiavi del registro. Il driver ha diverse caratteristiche, tra cui la risoluzione delle API del kernel richieste in modalità dinamica durante l’esecuzione, il monitoraggio delle operazioni di eliminazione e di rinominazione dei file per prevenirne l’eliminazione o la rinominazione, e la protezione del driver e dei processi in modalità utente Against access da parte di qualsiasi processo nel sistema.
Il driver è stato progettato per consegnare due payload in modalità utente, uno dei quali crea un processo svchost.exe e inietta un codice shell che induce un ritardo. Il secondo payload è il backdoor TONESHELL, iniettato nello stesso processo svchost.exe. Una volta avviato, il backdoor stabilisce un contatto con un server di controllo (avocadomechanism[.]com o potherbreference[.]com) tramite TCP sulla porta 443, utilizzando il canale di comunicazione per ricevere comandi che gli consentono di eseguire diverse operazioni. La scoperta segna la prima volta in cui TONSHELL è stato consegnato tramite un loader in modalità kernel, consentendogli di nascondere la propria attività agli strumenti di sicurezza.
