Ricercatori di sicurezza di Kaspersky hanno scoperto un nuovo campione del backdoor ToneShell, tipicamente utilizzato nelle campagne di cyber-spionaggio cinesi, che è stato consegnato attraverso un loader in modalità kernel contro organizzazioni governative. Il backdoor è stato attribuito al gruppo Mustang Panda, noto anche come HoneyMyte o Bronze President, che di solito prende di mira agenzie governative, ONG, think tank e altre organizzazioni di alto profilo in tutto il mondo.
Il nuovo campione di ToneShell
Il nuovo campione di ToneShell è stato scoperto in campagne contro organizzazioni governative in Myanmar, Thailandia e altri paesi asiatici. I ricercatori di Kaspersky hanno analizzato un file driver malintenzionato trovato su sistemi informatici in Asia e hanno scoperto che è stato utilizzato in campagne dal febbraio 2025. Il backdoor è stato consegnato attraverso un mini-filter driver denominato ProjectConfiguration.sys, firmato con un certificato rubato o perso valido tra il 2012 e il 2015 e rilasciato a Guangzhou Kingteller Technology Co., Ltd.
Caratteristiche del nuovo ToneShell
Il nuovo campione di ToneShell presenta modifiche e miglioramenti stealth. Il malware utilizza ora un nuovo schema di identificazione host basato su un ID host di 4 byte invece del GUID di 16 byte utilizzato in precedenza, e applica anche l’obfuscamento del traffico di rete con intestazioni TLS false. Il backdoor supporta i seguenti comandi remoti: creazione di un file temporaneo per i dati in entrata, download di file, annullamento del download, stabilimento di un shell remoto tramite una pipe, ricezione del comando dell’operatore, terminazione del shell, upload di file, annullamento dell’upload e chiusura della connessione.
