Nhóm tin tặc Trung Quốc được biết đến với tên Mustang Panda đã sử dụng một driver kernel-mode rootkit chưa từng được ghi nhận trước đây để phát tán một biến thể mới của backdoor có tên TONESHELL trong một cuộc tấn công mạng được phát hiện vào giữa năm 2025, nhắm mục tiêu vào một thực thể không xác định ở châu Á.
Những phát hiện này đến từ Kaspersky, đơn vị đã quan sát biến thể backdoor mới trong các chiến dịch gián điệp mạng do nhóm tin tặc này thực hiện, nhắm mục tiêu vào các tổ chức chính phủ ở Đông Nam và Đông Á, chủ yếu là Myanmar và Thái Lan.
"Tệp driver được ký bằng một digital certificate cũ, bị đánh cắp hoặc bị rò rỉ và đăng ký dưới dạng minifilter driver trên các máy bị lây nhiễm," công ty an ninh mạng của Nga cho biết. "Mục tiêu cuối cùng của nó là inject một trojan backdoor vào các tiến trình hệ thống và cung cấp khả năng bảo vệ cho các tệp độc hại, tiến trình user-mode và Registry keys."
Payload cuối cùng được triển khai trong cuộc tấn công là TONESHELL, một implant có khả năng reverse shell và downloader để tải các malware giai đoạn tiếp theo lên các host bị xâm nhập. Việc sử dụng TONESHELL đã được gán cho Mustang Panda ít nhất từ cuối năm 2022.
Gần đây nhất vào tháng 9 năm 2025, threat actor này đã liên kết với các cuộc tấn công nhắm vào các thực thể Thái Lan bằng TONESHELL và một USB worm có tên TONEDISK (còn gọi là WispRider) sử dụng các thiết bị di động làm vector phân phối cho một backdoor được gọi là Yokai.
Hạ tầng command-and-control (C2) được sử dụng cho TONESHELL được cho là đã được thiết lập vào tháng 9 năm 2024, mặc dù có những dấu hiệu cho thấy chiến dịch này không bắt đầu cho đến tháng 2 năm 2025. Đường dẫn initial access chính xác được sử dụng trong cuộc tấn công vẫn chưa rõ ràng. Người ta nghi ngờ rằng những kẻ tấn công đã lạm dụng các máy đã bị xâm nhập trước đó để triển khai driver độc hại.
Tệp driver ("ProjectConfiguration.sys") được ký bằng một digital certificate từ Guangzhou Kingteller Technology Co., Ltd, một công ty Trung Quốc chuyên về phân phối và cung cấp máy ATM. Certificate này có hiệu lực từ tháng 8 năm 2012 đến năm 2015.
Với việc có các artifact độc hại không liên quan khác được ký bằng cùng một digital certificate, người ta đánh giá rằng các threat actor có thể đã lợi dụng một certificate bị rò rỉ hoặc bị đánh cắp để thực hiện mục tiêu của chúng. Driver độc hại này đi kèm với hai user-mode shellcodes được nhúng vào phần .data của binary. Chúng được thực thi dưới dạng các user-mode threads riêng biệt.
"Chức năng rootkit bảo vệ cả module của driver và các tiến trình user-mode mà mã backdoor được inject vào, ngăn chặn quyền truy cập của bất kỳ tiến trình nào trên hệ thống," Kaspersky cho biết.
Các tính năng của Driver
- Giải quyết các kernel APIs cần thiết một cách động trong runtime bằng cách sử dụng một thuật toán hashing để khớp với các địa chỉ API cần thiết
- Giám sát các hoạt động file-delete và file-rename để ngăn chặn việc tự xóa hoặc đổi tên
- Từ chối các nỗ lực tạo hoặc mở Registry keys khớp với một danh sách được bảo vệ bằng cách thiết lập một RegistryCallback routine và đảm bảo rằng nó hoạt động ở altitude 330024 hoặc cao hơn
- Can thiệp vào altitude được gán cho WdFilter.sys, một driver của Microsoft Defender, và thay đổi nó thành 0 (nó có một giá trị mặc định là 328010), qua đó ngăn chặn nó được tải vào I/O stack
- Chặn các hoạt động liên quan đến tiến trình và từ chối quyền truy cập nếu hành động nhắm mục tiêu vào bất kỳ tiến trình nào trong danh sách các protected process IDs khi chúng đang chạy
- Loại bỏ bảo vệ rootkit cho các tiến trình đó sau khi thực thi hoàn tất
"Microsoft chỉ định dải altitude 320000–329999 cho FSFilter Anti-Virus Load Order Group," Kaspersky giải thích. "Altitude được chọn của malware vượt quá dải này. Vì các filter với altitude thấp hơn nằm sâu hơn trong I/O stack, driver độc hại chặn các hoạt động tệp trước các filter hợp pháp có altitude thấp như các thành phần antivirus, cho phép nó vượt qua các kiểm tra bảo mật."
Driver cuối cùng được thiết kế để thả hai user-mode payloads, một trong số đó tạo ra một tiến trình "svchost.exe" và inject một shellcode nhỏ gây ra sự chậm trễ. Payload thứ hai là backdoor TONESHELL được inject vào cùng tiến trình "svchost.exe" đó.
Khả năng của Backdoor TONESHELL
- Tạo tệp tạm thời cho dữ liệu đến (0x1)
- Tải xuống tệp (0x2 / 0x3)
- Hủy tải xuống (0x4)
- Thiết lập remote shell qua pipe (0x7)
- Nhận lệnh từ operator (0x8)
- Kết thúc shell (0x9)
- Tải lên tệp (0xA / 0xB)
- Hủy tải lên (0xC), và
- Đóng kết nối (0xD)
Sự phát triển này đánh dấu lần đầu tiên TONESHELL được phân phối thông qua một kernel-mode loader, cho phép nó che giấu hoạt động của mình khỏi các công cụ bảo mật một cách hiệu quả. Những phát hiện này chỉ ra rằng driver là sự bổ sung mới nhất vào bộ công cụ lớn hơn, đang phát triển được Mustang Panda sử dụng để duy trì persistence và ẩn backdoor của mình.
Memory forensics là chìa khóa để phân tích các lây nhiễm TONESHELL mới, vì shellcode được thực thi hoàn toàn trong memory, Kaspersky cho biết, lưu ý rằng việc phát hiện shellcode đã inject là một chỉ số quan trọng cho sự hiện diện của backdoor trên các host bị xâm nhập.
"Các hoạt động năm 2025 của HoneyMyte cho thấy một sự phát triển đáng chú ý hướng tới việc sử dụng kernel-mode injectors để triển khai ToneShell, cải thiện cả stealth và resilience," công ty kết luận.
"Để che giấu hoạt động của mình hơn nữa, driver đầu tiên triển khai một user-mode component nhỏ xử lý bước inject cuối cùng. Nó cũng sử dụng nhiều obfuscation techniques, callback routines và notification mechanisms để ẩn việc sử dụng API của nó và theo dõi hoạt động của tiến trình và Registry, cuối cùng củng cố khả năng phòng thủ của backdoor."
