Grupo de ciberespionaje Mustang Panda despliega versión avanzada de backdoor ToneShell
Los investigadores de Kaspersky han detectado que el grupo de amenazas chino Mustang Panda está atacando organizaciones gubernamentales en varios países asiáticos con una versión mejorada del backdoor ToneShell.
El hallazgo se produjo tras analizar un controlador malicioso encontrado en equipos de gobiernos de Myanmar, Tailandia y otros. Este controlador da acceso al backdoor ToneShell, que permite a los atacantes subir y descargar archivos, crear documentos y controlar los dispositivos comprometidos.
La nueva variante incluye mejoras, como establecer una shell remota, cancelar transferencias y crear archivos temporales. ToneShell se usa para ciberespionaje, y los sistemas víctimas también tenían otros malware como PlugX y el gusano USB ToneDisk. La campaña probablemente comenzó en febrero de 2025.
Lo más destacado es el uso de un controlador mini-filter firmado con un certificado robado o filtrado. Kaspersky explicó: "Es la primera vez que vemos a ToneShell entregado mediante un cargador en modo kernel, lo que le da protección contra monitorización en modo usuario y se beneficia de las capacidades de rootkit del controlador, que oculta su actividad".
Los mini-filters son controladores que operan dentro del sistema de archivos de Windows para interceptar operaciones en tiempo real. Esto permite a los atacantes manipular Microsoft Defender para que no se cargue en la pila de E/S.
Para defenderse, los investigadores recomiendan forense de memoria como principal método para detectar infecciones. También han compartido una lista de Indicadores de Compromiso (IoC) para identificar sistemas atacados.
Vía BleepingComputer