Çin bağlantılı siber casusluk gruplarında sık görülen
ToneShell arka kapısının, bu kez
kernel seviyesinde çalışan bir yükleyiciyle dağıtıldığı yeni bir saldırı dalgası tespit edildi. Kasperskynin analizine göre bu saldırılar, Çin devlet destekli
Mustang Panda (HoneyMyte / Bronze President) grubuna ait ve
en az Şubat 2025ten beri aktif.
Hedefler ağırlıklı olarak
Myanmar, Tayland ve diğer Asya ülkelerindeki devlet kurumları. İncelenen sistemlerde daha önce de ToneShellin eski sürümleri, PlugX zararlısı veya ToneDisk USB solucanı gibi yine Çin bağlantılı araçların izlerine rastlanmış.
Bu kampanyayı farklı kılan nokta, ToneShellin ilk kez
kernel-mode bir sürücü üzerinden yüklenmesi. Zararlı,
ProjectConfiguration.sys adlı bir mini-filter driver ile çalışıyor ve çalıntı/sızdırılmış eski bir dijital sertifika kullanıyor. Bu sayede kullanıcı seviyesindeki güvenlik kontrollerinden büyük ölçüde kaçabiliyor.
Sürücü; kendi dosyasının silinmesini engelliyor, registry anahtarlarını koruyor, Microsoft Defenderın bazı bileşenlerini devre dışı bırakıyor ve çalıştırdığı payloadları gizlemek için aktif süreçleri koruma altına alıyor. Ayrıca kernel APIlerini runtimeda çözerek statik analizden kaçıyor.
Yeni ToneShell varyantında da bazı değişiklikler var. Host kimliği artık daha küçük bir formatta tutuluyor, ağ trafiği sahte TLS başlıklarıyla gizleniyor ve uzaktan komutlar üzerinden dosya indirme/yükleme, uzaktan shell açma gibi klasik casusluk işlevleri destekleniyor.
Kasperskyye göre bu, Mustang Pandanın
gizlenme ve kalıcılık seviyesini ciddi şekilde yükselttiğini gösteriyor. Bu tür enfeksiyonların tespitinde klasik dosya taramasından ziyade
bellek (memory) analizinin kritik olduğu özellikle vurgulanıyor.
Özetle: ToneShell artık sadece kullanıcı seviyesinde değil,
çekirdeğin içine kadar inmiş durumda. Bu da Mustang Pandanın hâlâ aktif, gelişen ve devlet kurumları için ciddi bir tehdit olmaya devam ettiğini gösteriyor.