Gli esperti di Kaspersky hanno scoperto un nuovo modo per distribuire la backdoor ToneShell. I cybercriminali cinesi del gruppo HoneyMyte (noto anche come Mustang Panda o Bronze President) sfruttano un driver che funziona come rootkit. Si tratta di attacchi effettuati a scopo di spionaggio contro agenzie governative e organizzazioni di alto profilo nel mondo.
Backdoor distribuita con un rootkit
Gli esperti di Kaspersky hanno trovato il file ProjectConfiguration.sys su alcuni computer in Asia. Era un driver mini-filter firmato con un vecchio certificato digitale rubato. Questo tipo di driver permette di monitorare, filtrare e modificare le operazioni I/O sui file, quindi si collega direttamente allo stack software del file system. Essendo un driver in modalità kernel è stato sfruttato come un rootkit.
I cybercriminali hanno utilizzato diverse tecniche per evitare la sua rilevazione e cancellazione dai sistemi Windows. Impediscono anche la cancellazione delle chiavi di registro correlate e il blocco con Windows Defender. Il driver inietta un primo payload (shellcode) in un processo svchost. Successivamente inietta il secondo payload, ovvero la backdoor ToneShell, nello stesso processo.
La nuova versione del malware consente di effettuare l’accesso remoto, scaricare file e ricevere comandi dai cybercriminali. Gli esperti di Kasperksy sottolineano che la backdoor è stata distribuita per la prima volta attraverso un loader in modalità kernel. Ciò permette di rimanere quasi invisibile ai tool di sicurezza (il malware viene eseguito in memoria).
Gli autori degli attacchi fanno sicuramente parte del gruppo HoneyMate perché sui sistemi infettati c’erano altri malware usati dai cybercriminali cinesi, tra cui PlugX e ToneDisk USB. Le aziende dovrebbe utilizzare tool di sicurezza più avanzati e misure più efficaci, come firewall e IDS (Intrusion Detection System).
Ti potrebbe interessare
31 dic 2025