Source : Bill Toulas
Média : BleepingComputer
Date : 29 décembre 2025

Selon BleepingComputer, un nouvel échantillon du backdoor ToneShell — généralement observé dans des campagnes de cyberespionnage chinoises — a été utilisé dans des attaques contre des organisations gouvernementales.

L’élément clé mis en avant est l’utilisation d’un chargeur en mode noyau pour délivrer ToneShell, augmentant la furtivité et la persistance du malware.

Contexte

Une nouvelle variante du backdoor ToneShell, historiquement associée aux campagnes de cyberespionnage chinoises, a été observée dans des attaques ciblant des organisations gouvernementales en Asie. Pour la première fois, ToneShell est déployé via un chargeur en mode noyau, offrant des capacités avancées de dissimulation et de persistance.

Les chercheurs de Kaspersky attribuent cette activité au groupe ** Mustang Panda** (alias HoneyMyte / Bronze President), connu pour cibler gouvernements, ONG et think tanks.

Points clés

  • Vecteur inédit : rootkit en mode noyau

    • ToneShell est désormais chargé par un mini-filter driver (ProjectConfiguration.sys) fonctionnant en mode kernel.
    • Le pilote est signé avec un certificat volé ou divulgué (2012–2015) émis à Guangzhou Kingteller Technology Co., Ltd.

  • Capacités de furtivité avancées

    • Résolution dynamique des API noyau (hashing) pour éviter l’analyse statique.
    • Interception des opérations de suppression/renommage pour empêcher l’effacement du pilote.
    • Protection des clés de registre du service via callbacks.
    • Altitude mini-filter élevée pour prioriser le chargement avant certains produits de sécurité.
    • Interférence avec Microsoft Defender (modification du chargement de WdFilter).

  • Injection et protection en mode utilisateur

    • Deux shellcodes user-mode intégrés et injectés via threads dédiés.
    • Protection temporaire des processus injectés (blocage des handles) pendant l’exécution.

  • Évolution du backdoor ToneShell

    • Nouvel identifiant hôte (4 octets au lieu d’un GUID 16 octets).
    • Obfuscation réseau avec de faux en-têtes TLS.
    • Jeu de commandes étendu : shell distant, upload/download, gestion de sessions, annulation de transferts.

  • Contexte d’infection

    • Les systèmes compromis présentaient des traces d’infections antérieures (anciennes variantes ToneShell, PlugX, ou le ver USB ToneDisk), cohérentes avec l’écosystème Mustang Panda.
    • Activité observée depuis février 2025 contre des entités en Myanmar, Thaïlande et autres pays asiatiques.

Recommandations

  • Privilégier l’analyse mémoire (memory forensics) pour détecter les charges dissimulées par le rootkit.
  • Surveiller les mini-filters inhabituels, les altitudes suspectes et les modifications de Defender.
  • Appliquer des contrôles renforcés sur les certificats de signature et les pilotes noyau.
  • Consulter et intégrer les IoC fournis par Kaspersky pour la détection et la chasse proactive.

Conclusion

Cette campagne marque une escalade significative des TTP de Mustang Panda : le déploiement de ToneShell via un chargeur en mode noyau confère une furtivité et une résilience accrues face aux défenses user-mode. Elle illustre l’évolution continue des capacités des acteurs étatiques et la nécessité d’outils et de pratiques de détection au niveau noyau et mémoire.

Type d’article: information concise visant à signaler une activité malveillante et sa chaîne de chargement.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/chinese-state-hackers-use-rootkit-to-hide-toneshell-malware-activity/