Un nouvel échantillon de la porte dérobée ToneShell, généralement observée dans les campagnes de cyberespionnage chinoises, a été livré via un chargeur en mode noyau dans les attaques contre les organisations gouvernementales.
La porte dérobée a été attribuée au groupe Mustang Panda, également connu sous le nom de HoneyMyte ou Bronze President, qui cible généralement les agences gouvernementales, les ONG, les groupes de réflexion et d’autres organisations de premier plan dans le monde entier.
Les chercheurs en sécurité de Kaspersky ont analysé un pilote de fichier malveillant trouvé sur des systèmes informatiques en Asie et ont découvert qu’il était utilisé dans des campagnes depuis au moins février 2025 contre des organisations gouvernementales au Myanmar, en Thaïlande et dans d’autres pays asiatiques.
Les preuves ont montré que les entités compromises avaient déjà été infectées par des variantes plus anciennes de ToneShell, des logiciels malveillants PlugX ou le ver USB ToneDisk, également attribués à des pirates informatiques chinois parrainés par l’État.
Nouveau rootkit en mode noyau
Selon Kaspersky, la nouvelle porte dérobée ToneShell a été déployée par un pilote de mini-filtre nommé ProjectConfiguration.sys et signé avec un certificat volé ou divulgué valide entre 2012 et 2015 et délivré à Guangzhou Kingteller Technology Co., Ltd.
Les mini-filtres sont des pilotes en mode noyau qui se branchent sur la pile d’E/S du système de fichiers Windows et peuvent inspecter, modifier ou bloquer les opérations sur les fichiers. Les logiciels de sécurité, les outils de cryptage et les utilitaires de sauvegarde les utilisent généralement.
Configuration du projet.sys intègre deux shellcodes en mode utilisateur dans its .section de données, chacune exécutée en tant que thread séparé en mode utilisateur à injecter dans les processus en mode utilisateur.
Pour échapper à l’analyse statique, le pilote résout les API du noyau requises au moment de l’exécution en énumérant les modules du noyau chargés et les hachages de fonctions correspondants, plutôt qu’en important directement les fonctions.
Il s’enregistre en tant que pilote de mini-filtre et intercepte les opérations du système de fichiers liées à la suppression et au changement de nom. Lorsque de telles opérations ciblent le pilote lui-même, elles sont bloquées en forçant l’échec de la requête.
Le pilote protège également ses clés de registre liées au service en enregistrant un rappel de registre et en refusant les tentatives de création ou d’ouverture de celles-ci. Pour garantir la priorité sur les produits de sécurité, il sélectionne une altitude de mini-filtre au-dessus de la plage réservée aux antivirus.
De plus, le rootkit interfère avec Microsoft Defender en modifiant la configuration du pilote WdFilter afin qu’il ne soit pas chargé dans la pile d’E/S.
Pour protéger les charges utiles injectées en mode utilisateur, le pilote maintient une liste d’identifiants de processus protégés, refuse l’accès du gestionnaire à ces processus pendant l’exécution des charges utiles et supprime la protection une fois l’exécution terminée.
« C’est la première fois que nous voyons ToneShell livré via un chargeur en mode noyau, lui offrant une protection contre la surveillance en mode utilisateur et bénéficiant des capacités de rootkit du pilote qui cache son activité aux outils de sécurité », déclare Kaspersky.
Nouvelle variante en écaille de ton
La nouvelle variante de la porte dérobée ToneShell analysée par Kaspersky présente des modifications et des améliorations furtives. Le malware utilise désormais un nouveau schéma d’identification d’hôte basé sur un marché d’ID d’hôte de 4 octets au lieu du GUID de 16 octets utilisé précédemment, et applique également l’obscurcissement du trafic réseau avec de faux en-têtes TLS.
En termes d’opérations à distance prises en charge, la porte dérobée prend désormais en charge les commandes suivantes:
- 0x1-Créer un fichier temporaire pour les données entrantes
- 0x2 / 0x3 — Télécharger le fichier
- 0x4-Annuler le téléchargement
- 0x7-Établir un shell distant via un tuyau
- 0x8 – Recevoir la commande de l’opérateur
- 0x9-Terminer le shell
- 0xA / 0xB — Télécharger le fichier
- 0xC-Annuler le téléchargement
- 0xD-Connexion étroite
Kaspersky conseille que l’analyse de la mémoire est essentielle pour découvrir les infections ToneShell soutenues par le nouvel injecteur en mode noyau.
Les chercheurs ont une grande confiance dans l’attribution du nouvel échantillon de porte dérobée ToneShell au groupe de cyberespionnage Mustang Panda. Ils évaluent que l’auteur de la menace a fait évoluer ses tactiques, techniques et procédures pour gagner en furtivité opérationnelle et en résilience.
L’entreprise de cybersécurité fournit dans son rapport une courte liste d’indicateurs de compromission (IOC) pour aider les organisations à détecter les intrusions de Mustang Panda et à s’en défendre.