Selon Intezer, un nouveau variant du backdoor ToneShell attribué au groupe lié à la Chine Mustang Panda cible de nouveau le Myanmar et déploie des techniques d’antianalyse plus sophistiquées.

Le malware s’installe via DLL sideloading (bibliothèque SkinH.dll), assure sa persistance via le Planificateur de tâches Windows, crée des répertoires aléatoires de 6 caractères dans AppData et génère un identifiant hôte GUID stocké dans C:\ProgramData\SystemRuntimeLag.inc. Il intègre du texte OpenAI/Pega AI comme remplissage, exécute des boucles de création de fichiers, effectue des validations de tick count et applique des sommeils aléatoires pour perturber l’analyse.

Pour ses communications, il imite TLS avec des en-têtes factices 17 03 03 et transmet des charges XOR vers son C2 146.70.29.229:443, tout en recourant au hachage des fonctions API pour masquer ses appels. L’objectif est de se fondre dans le trafic légitime.

Le binaire réalise aussi des vérifications de chemins Google Drive pour éviter une auto-infection et maintient sa présence via des tâches planifiées. Cette variante illustre la continuité des opérations du groupe dans une zone d’importance géopolitique pour la Chine.

IOCs 📌

  • C2: 146.70.29.229:443
  • Fichier/artefact: C:\ProgramData\SystemRuntimeLag.inc
  • Module de sideloading: SkinH.dll
  • Signature réseau: en-têtes TLS factices 17 03 03

TTPs observés 🛠️

  • DLL sideloading pour l’exécution furtive
  • Persistance via Windows Task Scheduler et répertoires AppData aléatoires
  • Antianalyse/évasion: boucles de création de fichiers, validation de tick count, délais aléatoires, texte OpenAI/Pega AI comme leurre
  • Obfuscation par hachage d’APIs et payloads XOR
  • Déguisement réseau via protocole « TLS-like »
  • Vérifications Google Drive pour éviter l’auto-infection

Il s’agit d’une analyse de menace visant à documenter les techniques, l’infrastructure C2 et les indicateurs associés à cette variante.

🧠 TTPs et IOCs détectés

TTPs

[‘T1574.002 - DLL Side-Loading’, ‘T1053.005 - Scheduled Task/Job: Scheduled Task’, ‘T1070.004 - Indicator Removal on Host: File Deletion’, ‘T1497.003 - Virtualization/Sandbox Evasion: Time Based Evasion’, ‘T1027 - Obfuscated Files or Information’, ‘T1573.001 - Encrypted Channel: Symmetric Cryptography’, ‘T1202 - Indirect Command Execution’]

IOCs

[‘146.70.29.229:443’, ‘C:\ProgramData\SystemRuntimeLag.inc’, ‘SkinH.dll’, ‘TLS-like headers: 17 03 03’]

🔗 Source originale : https://intezer.com/blog/frankenstein-variant-of-the-toneshell-backdoor-targeting-myanmar/

🖴 Archive : https://web.archive.org/web/20250911093629/https://intezer.com/blog/frankenstein-variant-of-the-toneshell-backdoor-targeting-myanmar/