Chiến dịch này được cho là do nhóm Mustang Panda thực hiện (còn được biết đến với tên gọi HoneyMyte hoặc Bronze President). Nhóm này thông thường nhắm mục tiêu vào các cơ quan chính phủ, tổ chức phi chính phủ, viện nghiên cứu và cơ sở hạ tầng trọng yếu trên toàn thế giới .

Các nhà nghiên cứu bảo mật tại Kaspersky đã phân tích một tệp driver độc hại trên các hệ thống máy tính ở châu Á và phát hiện ra rằng, nó được sử dụng trong các chiến dịch tấn công mạng ít nhất từ ​​tháng 2/2025 với mục tiêu là các tổ chức chính phủ ở Myanmar, Thái Lan và các quốc gia châu Á khác.

Bằng chứng cho thấy các thực thể bị xâm nhập trước đó đã bị lây nhiễm các biến thể ToneShell cũ hơn, phần mềm độc hại PlugX hoặc worm máy tính ToneDisk USB, cũng được cho là do các tin tặc Trung Quốc được nhà nước tài trợ tạo ra.

Rootkit kernel-mode mới

Theo Kaspersky, phần mềm độc hại ToneShell mới được triển khai bởi một mini-filter driver có tên ProjectConfiguration.sys và được ký số bằng chứng thư bị đánh cắp hoặc rò rỉ có hiệu lực từ năm 2012 đến năm 2015, được cấp cho Công ty TNHH Công nghệ Guangzhou Kingteller.

Mini-filter thực tế là kernel-mode driver tích hợp vào ngăn xếp I/O của hệ thống tệp Windows và có thể kiểm tra, sửa đổi hoặc chặn các thao tác tệp. Các nhà nghiên cứu cho biết, các phần mềm bảo mật, công cụ mã hóa và tiện ích sao lưu thường sử dụng Mini-filter.

Tệp ProjectConfiguration.sys nhúng hai shellcode chế độ user-mode trong phần [.]data của nó. Để tránh phân tích tĩnh, driver sẽ giải quyết các API kernel cần thiết trong thời gian chạy bằng cách liệt kê các mô-đun kernel đã được tải và so khớp các hàm băm, thay vì nhập trực tiếp các hàm.

Driver này cũng bảo vệ các khóa registry liên quan đến dịch vụ bằng cách đăng ký một hàm “callback registry” và từ chối các nỗ lực tạo hoặc mở chúng. Để đảm bảo quyền ưu tiên so với các sản phẩm bảo mật, nó chọn mini-filter cao hơn phạm vi dành riêng cho phần mềm chống vi-rút.

Ngoài ra, rootkit còn can thiệp vào Microsoft Defender bằng cách sửa đổi cấu hình của WdFilter driver khiến nó không được tải vào ngăn xếp I/O.

Để bảo vệ các payload được nhúng vào ở chế độ user-mode, driver duy trì một danh sách các ID tiến trình được bảo vệ, từ chối quyền truy cập xử lý đối với các tiến trình đó trong khi payload đang thực thi và loại bỏ sự bảo vệ đó sau khi quá trình này hoàn tất.

Kaspersky cho biết: “Đây là lần đầu tiên chúng tôi thấy ToneShell được phân phối thông qua kernel-mode loader, giúp nó tránh được sự giám sát ở chế độ user-mode và tận dụng các khả năng rootkit của loader, từ đó che giấu hoạt động của nó khỏi các công cụ bảo mật”.

Tổng quan về cuộc tấn công Mustang Panda mới nhất

Biến thể ToneShell mới

Biến thể mới của phần mềm độc hại ToneShell mà Kaspersky phân tích có những thay đổi và cải tiến về khả năng ẩn mình. Mã độc này hiện sử dụng một lược đồ nhận dạng máy chủ mới dựa trên mã định danh máy chủ 4 byte, thay vì mã định danh duy nhất (GUID) 16 byte được sử dụng trước đây, đồng thời áp dụng kỹ thuật obfuscation lưu lượng mạng bằng các header TLS giả mạo.

Kaspersky khuyến cáo rằng phân tích điều tra số bộ nhớ là chìa khóa để phát hiện các phần mềm độc hại ToneShell được hỗ trợ bởi công cụ chèn mã độc vào chế độ kernel-mode mới.

Các nhà nghiên cứu nhận định rằng mẫu phần mềm độc hại ToneShell mới là sản phẩm của nhóm gián điệp mạng Mustang Panda. Họ đánh giá các tin tặc đã phát triển các chiến thuật, kỹ thuật và quy trình (TTP) của mình để đạt được khả năng hoạt động bí mật và duy trì tính bền vững.

Công ty an ninh mạng cung cấp trong báo cáo một danh sách các chỉ báo về sự xâm phạm (IoC) để giúp các tổ chức phát hiện các cuộc xâm nhập của Mustang Panda và phòng chống trước mối đe dọa này.