enero 14, 2026
rootkit.jpg

30 de diciembre de 2026Ravie LakshmananMalware/ciberespionaje

El grupo de hackers chino llamó panda mustang En un ciberataque descubierto a mediados de 2025 y dirigido a una empresa no especificada en Asia, se aprovechó un controlador de rootkit en modo kernel previamente no documentado para implementar una nueva variante de la puerta trasera llamada TONESHELL.

Los hallazgos provienen de Kaspersky, que observó la nueva variante de puerta trasera en las campañas de ciberespionaje del grupo de hackers dirigidas a organizaciones gubernamentales en el sudeste y este de Asia, principalmente Myanmar y Tailandia.

“El archivo del controlador está firmado con un certificado digital antiguo, robado o filtrado y se registra como un controlador Minifilter en las computadoras infectadas”, dijo la firma rusa de ciberseguridad. “El objetivo final es inyectar un troyano de puerta trasera en los procesos del sistema y brindar protección para archivos maliciosos, procesos en modo de usuario y claves de registro”.

La carga útil final implementada como parte del ataque es TONESHELL, un implante con shell inverso y capacidades de descarga para cargar malware de nivel superior en hosts comprometidos. El uso de TONESHELL se ha atribuido al Mustang Panda desde al menos finales de 2022.

En septiembre de 2025, el actor de amenazas fue vinculado a ataques a empresas tailandesas utilizando TONESHELL y un gusano USB llamado TONEDISK (también conocido como WispRider), que utiliza unidades extraíbles como vector de distribución para una puerta trasera llamada Yokai.

Se dice que la infraestructura de comando y control (C2) utilizada para TONESHELL se estableció en septiembre de 2024, aunque hay evidencia de que la campaña en sí no comenzó hasta febrero de 2025. La ruta de acceso original exacta utilizada en el ataque no está clara. Se sospecha que los atacantes abusaron de computadoras previamente comprometidas para implementar el controlador malicioso.

Ciberseguridad

El archivo del controlador (“ProjectConfiguration.sys”) está firmado con un certificado digital de Guangzhou Kingteller Technology Co., Ltd, una empresa china dedicada a la distribución y suministro de cajeros automáticos (ATM). El certificado tuvo validez desde agosto de 2012 hasta 2015.

Dado que existen otros artefactos maliciosos no relacionados firmados con el mismo certificado digital, se cree que los actores de la amenaza probablemente explotaron un certificado filtrado o robado para lograr sus objetivos. El controlador malicioso está equipado con dos shellcodes en modo de usuario incrustados en la sección .data del binario. Se ejecutan como subprocesos separados en modo de usuario.

“La funcionalidad rootkit protege tanto el propio módulo del controlador como los procesos en modo de usuario en los que se inyecta el código de puerta trasera, impidiendo el acceso de cualquier proceso en el sistema”, dijo Kaspersky.

El controlador tiene las siguientes características:

  • Resuelva dinámicamente las API del kernel requeridas en tiempo de ejecución mediante el uso de un algoritmo hash para coincidir con las direcciones API requeridas.
  • Supervise las operaciones de eliminación y cambio de nombre de archivos para evitar que se eliminen o cambien de nombre.
  • Evite intentos de crear o abrir claves de registro que coincidan con una lista protegida configurando una rutina RegistryCallback y asegurándose de que se ejecute a una altura de 330024 o superior
  • Modifique la altura asignada a WdFilter.sys, un controlador de Microsoft Defender, y cámbiela a cero (el valor predeterminado es 328010), lo que evita que se cargue en la pila de E/S.
  • Interceptar operaciones relacionadas con procesos y denegar el acceso si la acción tiene como objetivo un proceso que está en una lista de ID de procesos protegidos cuando se ejecuta.
  • Elimine la protección rootkit para estos procesos una vez que hayan terminado de ejecutarse

“Microsoft establece el rango de altura entre 320.000 y 329.999 para el grupo de orden de carga de FSFilter Anti-Virus”, explicó Kaspersky. “La altura elegida por el malware excede este rango. Debido a que los filtros de menor altura se ubican más profundamente en la pila de E/S, el controlador malicioso intercepta las operaciones de archivos antes que los filtros legítimos de menor altura, como los componentes antivirus, lo que le permite eludir los controles de seguridad”.

En última instancia, el controlador está diseñado para eliminar dos cargas útiles en modo de usuario, una de las cuales genera un proceso svchost.exe e inyecta un pequeño código shell que induce retrasos. La segunda carga útil es la puerta trasera TONESHELL, que se inyecta en el mismo proceso “svchost.exe”.

Una vez iniciada, la puerta trasera contacta con un servidor C2 (“avocadomechanism(.)com” o “potherbreference(.)com”) a través de TCP en el puerto 443 y utiliza el canal de comunicación para recibir comandos que le permiten:

  • Crear archivo temporal para datos entrantes (0x1)
  • Descargar archivo (0x2/0x3)
  • Cancelar descarga (0x4)
  • Configure el shell remoto a través de una tubería (0x7).
  • Comando del operador recibido (0x8)
  • Salir del shell (0x9)
  • Subir archivo (0xA / 0xB)
  • Cancelar carga (0xC) y
  • Cerrar conexión (0xD)
Ciberseguridad

El desarrollo marca la primera vez que TONSHELL se implementa a través de un cargador en modo kernel, lo que le permite ocultar su actividad de las herramientas de seguridad. Los resultados sugieren que el controlador es la última incorporación a un conjunto de herramientas más amplio y en evolución que utiliza Mustang Panda para mantener la persistencia y ocultar su puerta trasera.

El análisis forense de la memoria es clave para analizar las nuevas infecciones de TONESHELL porque el código shell se ejecuta completamente en la memoria, dijo Kaspersky, señalando que la detección del código shell inyectado es un indicador crucial de la presencia de la puerta trasera en los hosts comprometidos.

“Las operaciones de HoneyMyte en 2025 muestran una evolución notable hacia el uso de inyectores en modo kernel para entregar ToneShell, mejorando tanto el sigilo como la resiliencia”, concluyó la compañía.

“Para ocultar aún más su actividad, el controlador primero expone un pequeño componente en modo de usuario que maneja el paso de inyección final. También aprovecha múltiples técnicas de ofuscación, rutinas de devolución de llamadas y mecanismos de notificación para ocultar su uso de API y rastrear el proceso y la actividad del registro, fortaleciendo en última instancia las defensas de la puerta trasera”.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

gemini-logo-gettyimages-2246856729.jpg

En 2026, Google se centra en hacer que la IA sea realmente útil

enero 14, 2026 0
gettyimages-200464106-001.jpg

¿Preparar la cena en la freidora? Evite el aceite de oliva y use este en su lugar.

enero 14, 2026 0
dc606693-424d-4783-8e56-a5a08cd81d9c.jpeg

Meta ha cerrado tres estudios de realidad virtual como parte de sus cortes de Metaverse

enero 14, 2026 0
wrcw-2025-fg-00470210-still908-3000.jpg

Prime Video: Las 16 mejores películas para ver

enero 14, 2026 0
microsoft-store-1185699758.jpg

Microsoft anuncia un exceso de nuevos centros de datos, pero dice que no aumentará su factura de electricidad

enero 14, 2026 0
GettyImages-1354022389.jpg

Un organismo de control del consumidor ha emitido una advertencia sobre el protocolo de compra de agentes de IA de Google: Google dice que es incorrecto

enero 14, 2026 0