El grupo de hackers chino conocido como panda mustang ha aprovechado un controlador de rootkit en modo kernel previamente no documentado para ofrecer una nueva variante de puerta trasera denominada TONESHELL en un ciberataque detectado a mediados de 2025 dirigido a una entidad no especificada en Asia.
Los hallazgos provienen de Kaspersky, que observó la nueva variante de puerta trasera en campañas de ciberespionaje montadas por el grupo de hackers dirigidas a organizaciones gubernamentales en el sudeste y este de Asia, principalmente Myanmar y Tailandia.
«El archivo del controlador se firma con un certificado digital antiguo, robado o filtrado y se registra como controlador de minifiltro en máquinas infectadas», la empresa rusa de ciberseguridad dicho. «Su objetivo final es inyectar un troyano de puerta trasera en los procesos del sistema y brindar protección para archivos maliciosos, procesos en modo de usuario y claves de registro».
La carga útil final implementada como parte del ataque es TONESHELL, un implante con shell inverso y capacidades de descarga para descargar malware de la siguiente etapa en los hosts comprometidos. El uso de TONESHELL se le atribuye al Mustang Panda desde al menos finales de 2022.
En septiembre de 2025, el actor de amenazas fue vinculado a ataques dirigidos a entidades tailandesas con TONESHELL y un gusano USB llamado TONEDISK (también conocido como WispRider) que utiliza dispositivos extraíbles como vector de distribución para una puerta trasera denominada Yokai.
Se dice que la infraestructura de comando y control (C2) utilizada para TONESHELL se construyó en septiembre de 2024, aunque hay indicios de que la campaña en sí no comenzó hasta febrero de 2025. La vía de acceso inicial exacta utilizada en el ataque no está clara. Se sospecha que los atacantes abusaron de máquinas previamente comprometidas para implementar el controlador malicioso.
El archivo del controlador («ProjectConfiguration.sys») está firmado con un certificado digital de Guangzhou Kingteller Technology Co., Ltd, una empresa china que participa en la distribución y aprovisionamiento de cajeros automáticos (ATM). El certificado tuvo validez desde agosto de 2012 hasta 2015.
Dado que hay otros artefactos maliciosos no relacionados firmados con el mismo certificado digital, se evalúa que los actores de la amenaza probablemente aprovecharon un certificado filtrado o robado para lograr sus objetivos. El controlador malicioso viene equipado con dos shellcodes en modo de usuario que están integrados en la sección .data del binario. Se ejecutan como subprocesos separados en modo de usuario.
«La funcionalidad rootkit protege tanto el propio módulo del controlador como los procesos en modo de usuario en los que se inyecta el código de puerta trasera, impidiendo el acceso de cualquier proceso en el sistema», dijo Kaspersky.
El controlador tiene el siguiente conjunto de características:
- Resuelva las API del kernel requeridas dinámicamente en tiempo de ejecución mediante el uso de un algoritmo hash para que coincida con las direcciones API requeridas.
- Supervise las operaciones de eliminación y cambio de nombre de archivos para evitar que se elimine o se le cambie el nombre.
- Negue los intentos de crear o abrir claves de Registro que coincidan con una lista protegida configurando una rutina RegistryCallback y asegurándose de que funcione a un altitud de 330024 o superior
- Interfiera con la altitud asignada a WdFilter.sys, un controlador de Microsoft Defender, y cámbiela a cero (tiene un valor predeterminado de 328010), evitando así que se cargue en la pila de E/S
- Interceptar operaciones relacionadas con procesos y denegar el acceso si la acción apunta a cualquier proceso que esté en una lista de ID de procesos protegidos cuando se están ejecutando.
- Eliminar la protección rootkit para esos procesos una vez que se complete la ejecución
«Microsoft designa el rango de altitud de 320000 a 329999 para el grupo de orden de carga de FSFilter Anti-Virus», explicó Kaspersky. «La altitud elegida por el malware excede este rango. Dado que los filtros con altitudes más bajas se encuentran más profundamente en la pila de E/S, el controlador malicioso intercepta las operaciones de archivos antes que los filtros legítimos de baja altitud, como los componentes antivirus, lo que le permite eludir los controles de seguridad».
En última instancia, el controlador está diseñado para eliminar dos cargas útiles en modo de usuario, una de las cuales genera un proceso «svchost.exe» e inyecta un pequeño código shell que induce retrasos. La segunda carga útil es la puerta trasera TONESHELL que se inyecta en el mismo proceso «svchost.exe».
Una vez iniciada, la puerta trasera establece contacto con un servidor C2 («avocadomechanism[.]com» o «potherbreference[.]com») a través de TCP en el puerto 443, utilizando el canal de comunicación para recibir comandos que le permiten:
- Crear archivo temporal para datos entrantes (0x1)
- Descargar archivo (0x2/0x3)
- Cancelar descarga (0x4)
- Establecer un shell remoto a través de una tubería (0x7)
- Recibir comando del operador (0x8)
- Terminar shell (0x9)
- Subir archivo (0xA / 0xB)
- Cancelar carga (0xC), y
- Cerrar conexión (0xD)
El desarrollo marca la primera vez que TONSHELL se entrega a través de un cargador en modo kernel, lo que le permite ocultar su actividad de las herramientas de seguridad. Los hallazgos indican que el controlador es la última incorporación a un conjunto de herramientas más amplio y en evolución utilizado por Mustang Panda para mantener la persistencia y ocultar su puerta trasera.
El análisis forense de la memoria es clave para analizar las nuevas infecciones TONESHELL, ya que el código shell se ejecuta completamente en la memoria, dijo Kaspersky, señalando que detectar el código shell inyectado es un indicador crucial de la presencia de la puerta trasera en los hosts comprometidos.
«Las operaciones de HoneyMyte en 2025 muestran una evolución notable hacia el uso de inyectores en modo kernel para implementar TONESHELL, mejorando tanto el sigilo como la resiliencia», concluyó la compañía.
«Para ocultar aún más su actividad, el controlador primero implementa un pequeño componente en modo de usuario que maneja el paso de inyección final. También utiliza múltiples técnicas de ofuscación, rutinas de devolución de llamadas y mecanismos de notificación para ocultar su uso de API y rastrear la actividad del proceso y del registro, fortaleciendo en última instancia las defensas de la puerta trasera».
Fuente