Nouveau variant de ToneShell de Mustang Panda : anti-analyse avancée et ciblage du Myanmar
Selon Intezer, un nouveau variant du backdoor ToneShell attribué au groupe lié à la Chine Mustang Panda cible de nouveau le Myanmar et déploie des techniques d’antianalyse plus sophistiquées. Le malware s’installe via DLL sideloading (bibliothèque SkinH.dll), assure sa persistance via le Planificateur de tâches Windows, crée des répertoires aléatoires de 6 caractères dans AppData et génère un identifiant hôte GUID stocké dans C:\ProgramData\SystemRuntimeLag.inc. Il intègre du texte OpenAI/Pega AI comme remplissage, exécute des boucles de création de fichiers, effectue des validations de tick count et applique des sommeils aléatoires pour perturber l’analyse. ...