El especie de hackers chino conocido como panda mustang ha estudioso un compensador de rootkit en modo kernel previamente no documentado para ofrecer una nueva transformación de puerta trasera denominada TONESHELL en un ciberataque detectado a mediados de 2025 dirigido a una entidad no especificada en Asia.
Los hallazgos provienen de Kaspersky, que observó la nueva transformación de puerta trasera en campañas de ciberespionaje montadas por el especie de hackers dirigidas a organizaciones gubernamentales en el sudeste y este de Asia, principalmente Myanmar y Tailandia.
“El archivo del compensador está firmado con un certificado digital antiguo, robado o filtrado y se registra como un compensador de minifiltro en las máquinas infectadas”, dijo la empresa rusa de ciberseguridad. “Su objetivo final es inyectar un troyano de puerta trasera en los procesos del sistema y cumplimentar protección para archivos maliciosos, procesos en modo de agraciado y claves de registro”.
La carga útil final implementada como parte del ataque es TONESHELL, un implante con shell inverso y capacidades de descarga para descargar malware de la próximo etapa en los hosts comprometidos. El uso de TONESHELL se le atribuye al Mustang Panda desde al menos finales de 2022.
En septiembre de 2025, el actor de amenazas fue vinculado a ataques dirigidos a entidades tailandesas con TONESHELL y un helminto USB llamado TONEDISK (asimismo conocido como WispRider) que utiliza dispositivos extraíbles como vector de distribución para una puerta trasera denominada Yokai.
Se dice que la infraestructura de comando y control (C2) utilizada para TONESHELL se construyó en septiembre de 2024, aunque hay indicios de que la campaña en sí no comenzó hasta febrero de 2025. La vía de llegada original exacta utilizada en el ataque no está clara. Se sospecha que los atacantes abusaron de máquinas previamente comprometidas para implementar el compensador astuto.
El archivo del compensador (“ProjectConfiguration.sys”) está firmado con un certificado digital de Guangzhou Kingteller Technology Co., Ltd, una empresa china que participa en la distribución y aprovisionamiento de cajeros automáticos (ATM). El certificado tuvo validez desde agosto de 2012 hasta 2015.
Poliedro que hay otros artefactos maliciosos no relacionados firmados con el mismo certificado digital, se evalúa que los actores de la amenaza probablemente aprovecharon un certificado filtrado o robado para alcanzar sus objetivos. El compensador astuto viene equipado con dos shellcodes en modo de agraciado que están integrados en la sección .data del binario. Se ejecutan como subprocesos separados en modo de agraciado.
“La funcionalidad rootkit protege tanto el propio módulo del compensador como los procesos en modo de agraciado en los que se inyecta el código de puerta trasera, impidiendo el llegada de cualquier proceso en el sistema”, dijo Kaspersky.
El compensador tiene el próximo conjunto de características:
- Resuelva las API del kernel requeridas dinámicamente en tiempo de ejecución mediante el uso de un operación hash para que coincida con las direcciones API requeridas.
- Supervise las operaciones de asesinato y cambio de nombre de archivos para evitar que se elimine o se le cambie el nombre.
- Negue los intentos de crear o cascar claves de Registro que coincidan con una tira protegida configurando una rutina RegistryCallback y asegurándose de que funcione a una altura de 330024 o superior.
- Interfiere con la altura asignada a WdFilter.sys, un compensador de Microsoft Defender, y cámbiala a cero (tiene un valía predeterminado de 328010), evitando así que se cargue en la pila de E/S.
- Interceptar operaciones relacionadas con procesos y prohibir el llegada si la obra apunta a cualquier proceso que esté en una tira de ID de procesos protegidos cuando se están ejecutando.
- Eliminar la protección rootkit para esos procesos una vez que se complete la ejecución
“Microsoft designa el rango de altura de 320000 a 329999 para el especie de orden de carga de FSFilter Anti-Virus”, explicó Kaspersky. “La altura elegida por el malware excede este rango. Poliedro que los filtros con altitudes más bajas se encuentran más profundamente en la pila de E/S, el compensador astuto intercepta las operaciones de archivos antaño que los filtros legítimos de desaparecido altura, como los componentes antivirus, lo que le permite eludir los controles de seguridad”.
En última instancia, el compensador está diseñado para eliminar dos cargas efectos en modo de agraciado, una de las cuales genera un proceso “svchost.exe” e inyecta un pequeño código shell que induce retrasos. La segunda carga útil es la puerta trasera TONESHELL que se inyecta en el mismo proceso “svchost.exe”.
Una vez iniciada, la puerta trasera establece contacto con un servidor C2 (“avocadomechanism(.)com” o “potherbreference(.)com”) a través de TCP en el puerto 443, utilizando el canal de comunicación para aceptar comandos que le permiten:
- Crear archivo temporal para datos entrantes (0x1)
- Descargar archivo (0x2/0x3)
- Rescindir descarga (0x4)
- Establecer un shell remoto a través de una tubería (0x7)
- Cobrar comando del cámara (0x8)
- Terminar shell (0x9)
- Subir archivo (0xA / 0xB)
- Rescindir carga (0xC), y
- Cerrar conexión (0xD)
El crecimiento marca la primera vez que TONSHELL se entrega a través de un cargador en modo kernel, lo que le permite ocultar su actividad de las herramientas de seguridad. Los hallazgos indican que el compensador es la última incorporación a un conjunto de herramientas más amplio y en progreso utilizado por Mustang Panda para suministrar la persistencia y ocultar su puerta trasera.
El disección forense de la memoria es esencia para analizar las nuevas infecciones TONESHELL, ya que el código shell se ejecuta completamente en la memoria, dijo Kaspersky, señalando que detectar el código shell inyectado es un indicador crucial de la presencia de la puerta trasera en los hosts comprometidos.
“Las operaciones de HoneyMyte en 2025 muestran una progreso trascendente en torno a el uso de inyectores en modo kernel para implementar ToneShell, mejorando tanto el sigilo como la resiliencia”, concluyó la compañía.
“Para ocultar aún más su actividad, el compensador primero implementa un pequeño componente en modo de agraciado que maneja el paso de inyección final. Igualmente utiliza múltiples técnicas de ofuscación, rutinas de devolución de llamadas y mecanismos de notificación para ocultar su uso de API y rastrear la actividad del proceso y del registro, fortaleciendo en última instancia las defensas de la puerta trasera”.
