TONESHELL

TA416 reprend l'espionnage des gouvernements européens et s'étend au Moyen-Orient

🌐 Contexte Cet article est une publication de recherche de Proofpoint (Threat Insight), datée du 26 mars 2026, analysant la reprise des activités du groupe de menace TA416 (aligné Chine, aussi connu sous les noms RedDelta, Red Lich, Vertigo Panda, SmugX, DarkPeony) contre des cibles européennes et moyen-orientales. 🎯 Ciblage et contexte géopolitique Depuis mi-2025, TA416 a repris ses campagnes contre les missions diplomatiques et gouvernements européens, notamment ceux accrédités auprès de l’UE et de l’OTAN. Cette reprise coïncide avec le 25e sommet UE-Chine et des tensions accrues autour du commerce, de la guerre Russie-Ukraine et des exportations de terres rares. ...

ToneShell livré via un chargeur en mode noyau contre des organismes gouvernementaux

Source : Bill Toulas Média : BleepingComputer Date : 29 décembre 2025 Selon BleepingComputer, un nouvel échantillon du backdoor ToneShell — généralement observé dans des campagnes de cyberespionnage chinoises — a été utilisé dans des attaques contre des organisations gouvernementales. L’élément clé mis en avant est l’utilisation d’un chargeur en mode noyau pour délivrer ToneShell, augmentant la furtivité et la persistance du malware. Contexte Une nouvelle variante du backdoor ToneShell, historiquement associée aux campagnes de cyberespionnage chinoises, a été observée dans des attaques ciblant des organisations gouvernementales en Asie. Pour la première fois, ToneShell est déployé via un chargeur en mode noyau, offrant des capacités avancées de dissimulation et de persistance. ...

Nouveau variant de ToneShell de Mustang Panda : anti-analyse avancée et ciblage du Myanmar

Selon Intezer, un nouveau variant du backdoor ToneShell attribué au groupe lié à la Chine Mustang Panda cible de nouveau le Myanmar et déploie des techniques d’antianalyse plus sophistiquées. Le malware s’installe via DLL sideloading (bibliothèque SkinH.dll), assure sa persistance via le Planificateur de tâches Windows, crée des répertoires aléatoires de 6 caractères dans AppData et génère un identifiant hôte GUID stocké dans C:\ProgramData\SystemRuntimeLag.inc. Il intègre du texte OpenAI/Pega AI comme remplissage, exécute des boucles de création de fichiers, effectue des validations de tick count et applique des sommeils aléatoires pour perturber l’analyse. ...