Hedefler ağırlıklı olarak Myanmar, Tayland ve diğer Asya ülkelerindeki devlet kurumları. İncelenen sistemlerde daha önce de ToneShellin eski sürümleri, PlugX zararlısı veya ToneDisk USB solucanı gibi yine Çin bağlantılı araçların izlerine rastlanmış.
Bu kampanyayı farklı kılan nokta, ToneShellin ilk kez kernel-mode bir sürücü üzerinden yüklenmesi. Zararlı, ProjectConfiguration.sys adlı bir mini-filter driver ile çalışıyor ve çalıntı/sızdırılmış eski bir dijital sertifika kullanıyor. Bu sayede kullanıcı seviyesindeki güvenlik kontrollerinden büyük ölçüde kaçabiliyor.
Sürücü; kendi dosyasının silinmesini engelliyor, registry anahtarlarını koruyor, Microsoft Defenderın bazı bileşenlerini devre dışı bırakıyor ve çalıştırdığı payloadları gizlemek için aktif süreçleri koruma altına alıyor. Ayrıca kernel APIlerini runtimeda çözerek statik analizden kaçıyor.
Yeni ToneShell varyantında da bazı değişiklikler var. Host kimliği artık daha küçük bir formatta tutuluyor, ağ trafiği sahte TLS başlıklarıyla gizleniyor ve uzaktan komutlar üzerinden dosya indirme/yükleme, uzaktan shell açma gibi klasik casusluk işlevleri destekleniyor.
Kasperskyye göre bu, Mustang Pandanın gizlenme ve kalıcılık seviyesini ciddi şekilde yükselttiğini gösteriyor. Bu tür enfeksiyonların tespitinde klasik dosya taramasından ziyade bellek (memory) analizinin kritik olduğu özellikle vurgulanıyor.
Özetle: ToneShell artık sadece kullanıcı seviyesinde değil, çekirdeğin içine kadar inmiş durumda. Bu da Mustang Pandanın hâlâ aktif, gelişen ve devlet kurumları için ciddi bir tehdit olmaya devam ettiğini gösteriyor.
