Nova variante do ToneShell recorre a rootkit em kernel-mode para ciberespionagem estatal

Investigadores da Kaspersky identificaram uma nova variante do backdoor ToneShell utilizada em campanhas de ciberespionagem atribuídas a atores estatais chineses. Pela primeira vez, o malware foi entregue através de um loader em kernel-mode, recorrendo a capacidades de rootkit para ocultar a atividade maliciosa de ferramentas de segurança.

A campanha é associada ao grupo Mustang Panda, também conhecido como HoneyMyte ou Bronze President, historicamente focado em ataques contra organismos governamentais, ONG, think tanks e outras organizações de elevado perfil. A análise aponta para ataques ativos desde, pelo menos, fevereiro de 2025, dirigidos a entidades governamentais em países como Myanmar e Tailândia.

Segundo a Kaspersky, os sistemas comprometidos apresentavam sinais de infeções anteriores com variantes mais antigas do ToneShell, o Malware PlugX ou o worm USB ToneDisk, todos anteriormente associados a campanhas de origem chinesa.

A nova cadeia de infeção utiliza um mini-filter driver em kernel-mode, denominado ProjectConfiguration.sys, assinado com um certificado roubado ou exposto, válido entre 2012 e 2015 e emitido à empresa Guangzhou Kingteller Technology. Este tipo de driver é normalmente usado por software legítimo para interagir com o file-system I/O stack do Windows.

O driver incorpora shellcodes em user-mode, executados através da injeção em processos legítimos. Para evitar deteção por análise estática, resolve dinamicamente as API do kernel, em vez de importar funções de forma direta.

Entre as funcionalidades do rootkit estão a interceção de operações de renomeação e eliminação de ficheiros, bloqueando tentativas de remover o próprio driver, bem como a proteção das chaves de registo associadas ao serviço. O malware escolhe ainda um mini-filter de altitude superior ao reservado para antivírus, garantindo prioridade sobre produtos de segurança.

A investigação revela também interferência direta com o Microsoft Defender, através da modificação da configuração do driver WdFilter, impedindo o seu carregamento no I/O stack. Para proteger os payloads injetados em user-mode, o rootkit mantém uma lista de processos protegidos, bloqueando o acesso a handles enquanto o código malicioso está em execução.

De acordo com a Kaspersky, esta é a primeira vez que o ToneShell é observado a ser distribuído através de um loader em kernel-mode, o que lhe confere maior resiliência face à monitorização em user-mode e reforça a sua capacidade de evasão em ambientes governamentais de elevado controlo.