Mustang Panda gebruikt ondertekende kernel-modus rootkit om TONESHELL Backdoor te laden

Cyberbeveiliging
Mustang Panda gebruikt ondertekende kernel-modus rootkit om TONESHELL Backdoor te laden

De Chinese hackgroep bekend als Mustang-Panda heeft een voorheen ongedocumenteerde rootkit-driver in de kernelmodus gebruikt om een ​​nieuwe variant van de backdoor genaamd TONESHELL te leveren in een cyberaanval die medio 2025 werd gedetecteerd en gericht was op een niet-gespecificeerde entiteit in Azië.

De bevindingen zijn afkomstig van Kaspersky, die de nieuwe achterdeurvariant observeerde in cyberspionagecampagnes van de hackgroep gericht op overheidsorganisaties in Zuidoost- en Oost-Azië, voornamelijk Myanmar en Thailand.

“Het stuurprogrammabestand is ondertekend met een oud, gestolen of gelekt digitaal certificaat en registreert zich als een minifilterstuurprogramma op geïnfecteerde machines”, aldus het Russische cyberbeveiligingsbedrijf. “Het einddoel is om een ​​achterdeurtrojan in de systeemprocessen te injecteren en bescherming te bieden tegen kwaadaardige bestanden, gebruikersmodusprocessen en registersleutels.”

De laatste lading die als onderdeel van de aanval wordt ingezet, is TONESHELL, een implantaat met reverse shell- en downloader-mogelijkheden om malware in de volgende fase op gecompromitteerde hosts te brengen. Het gebruik van TONESHELL wordt in ieder geval sinds eind 2022 toegeschreven aan de Mustang Panda.

Nog in september 2025 werd de bedreigingsacteur in verband gebracht met aanvallen gericht op Thaise entiteiten met TONESHELL en een USB-worm genaamd TONEDISK (ook bekend als WispRider) die verwijderbare apparaten gebruikt als distributievector voor een achterdeur die Yokai wordt genoemd.

De command-and-control (C2)-infrastructuur die voor TONESHELL wordt gebruikt, zou in september 2024 zijn gebouwd, hoewel er aanwijzingen zijn dat de campagne zelf pas in februari 2025 begon. Het exacte initiële toegangspad dat bij de aanval werd gebruikt, is niet duidelijk. Het vermoeden bestaat dat de aanvallers eerder gecompromitteerde machines hebben misbruikt om het kwaadaardige stuurprogramma te implementeren.

Het stuurprogrammabestand (“ProjectConfiguration.sys”) is ondertekend met een digitaal certificaat van Guangzhou Kingteller Technology Co., Ltd, een Chinees bedrijf dat betrokken is bij de distributie en levering van geldautomaten. Het certificaat was geldig van augustus 2012 tot en met 2015.

Gezien het feit dat er nog meer niet-gerelateerde kwaadaardige artefacten zijn die met hetzelfde digitale certificaat zijn ondertekend, wordt geoordeeld dat de bedreigingsactoren waarschijnlijk een gelekt of gestolen certificaat hebben gebruikt om hun doelen te verwezenlijken. Het kwaadaardige stuurprogramma wordt geleverd met twee shellcodes in de gebruikersmodus die zijn ingebed in de .data-sectie van het binaire bestand. Ze worden uitgevoerd als afzonderlijke threads in de gebruikersmodus.

“De rootkit-functionaliteit beschermt zowel de eigen module van de bestuurder als de processen in de gebruikersmodus waarin de achterdeurcode wordt geïnjecteerd, waardoor toegang door elk proces op het systeem wordt voorkomen”, aldus Kaspersky.

De driver heeft de volgende reeks functies:

  • Los vereiste kernel-API’s dynamisch op tijdens runtime door een hash-algoritme te gebruiken om de vereiste API-adressen te matchen
  • Houd toezicht op het verwijderen en hernoemen van bestanden om te voorkomen dat het wordt verwijderd of hernoemd
  • Weiger pogingen om registersleutels te maken of te openen die overeenkomen met een beveiligde lijst door een RegistryCallback-routine in te stellen en ervoor te zorgen dat deze op een hoogte van 330024 of hoger werkt
  • Interfereren met de hoogte die is toegewezen aan WdFilter.sys, een Microsoft Defender-stuurprogramma, en deze wijzigen in nul (deze heeft een standaardwaarde van 328010), waardoor wordt voorkomen dat deze in de I/O-stack wordt geladen
  • Procesgerelateerde bewerkingen onderscheppen en toegang weigeren als de actie gericht is op een proces dat op een lijst met beschermde proces-ID’s staat wanneer deze worden uitgevoerd
  • Verwijder de rootkitbescherming voor deze processen zodra de uitvoering is voltooid

“Microsoft wijst het hoogtebereik van 320.000–329999 aan voor de FSFilter Anti-Virus Load Order Group”, legt Kaspersky uit. “De gekozen hoogte van de malware overschrijdt dit bereik. Omdat filters met lagere hoogten dieper in de I/O-stack zitten, onderschept het kwaadwillende stuurprogramma bestandsbewerkingen vóór legitieme filters op lage hoogte, zoals antiviruscomponenten, waardoor het beveiligingscontroles kan omzeilen.”

Het stuurprogramma is uiteindelijk ontworpen om twee payloads in de gebruikersmodus te laten vallen, waarvan er één een “svchost.exe” -proces voortbrengt en een kleine vertragingsinducerende shellcode injecteert. De tweede payload is de TONESHELL-achterdeur die in hetzelfde “svchost.exe” -proces wordt geïnjecteerd.

Eenmaal gelanceerd, maakt de achterdeur contact met een C2-server (“avocadomechanism(.)com” of “potherbreference(.)com”) via TCP op poort 443, waarbij het communicatiekanaal wordt gebruikt om opdrachten te ontvangen waarmee het –

  • Tijdelijk bestand maken voor inkomende gegevens (0x1)
  • Bestand downloaden (0x2 / 0x3)
  • Download annuleren (0x4)
  • Breng externe shell tot stand via pijp (0x7)
  • Operatoropdracht ontvangen (0x8)
  • Shell beëindigen (0x9)
  • Bestand uploaden (0xA / 0xB)
  • Uploaden annuleren (0xC), en
  • Verbinding sluiten (0xD)

Deze ontwikkeling markeert de eerste keer dat TONSHELL wordt geleverd via een kernelmoduslader, waardoor het zijn activiteiten effectief kan verbergen voor beveiligingstools. De bevindingen geven aan dat de bestuurder de nieuwste toevoeging is aan een grotere, evoluerende toolset die door Mustang Panda wordt gebruikt om doorzettingsvermogen te behouden en de achterdeur te verbergen.

Geheugenforensisch onderzoek is de sleutel tot het analyseren van de nieuwe TONESHELL-infecties, omdat de shellcode volledig in het geheugen wordt uitgevoerd, zei Kaspersky, waarbij hij opmerkte dat het detecteren van de geïnjecteerde shellcode een cruciale indicator is van de aanwezigheid van de achterdeur op gecompromitteerde hosts.

“De activiteiten van HoneyMyte in 2025 laten een merkbare evolutie zien in de richting van het gebruik van kernel-mode injectoren om ToneShell in te zetten, waardoor zowel de stealth als de veerkracht worden verbeterd”, concludeerde het bedrijf.

“Om zijn activiteit verder te verbergen, zet de driver eerst een kleine gebruikersmoduscomponent in die de laatste injectiestap afhandelt. Het maakt ook gebruik van meerdere verduisteringstechnieken, callback-routines en meldingsmechanismen om het API-gebruik te verbergen en proces- en registeractiviteit te volgen, waardoor uiteindelijk de verdediging van de achterdeur wordt versterkt.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Samsung onthult Music Studio-luidsprekers en nieuwe soundbars voorafgaand aan CES 2026

OpenAI creëert de rol van ‘Head of Preparedness’ om de groeiende AI-risico’s aan te pakken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]