Uma nova vaga de ataques cibernéticos, atribuída a grupos de espionagem chineses, está a utilizar uma versão sofisticada da backdoor ToneShell. Esta ameaça distingue-se pela utilização de um carregador (loader) que opera ao nível do kernel, permitindo-lhe ocultar a sua atividade e persistir em sistemas de organizações governamentais.
A descoberta foi feita por investigadores de segurança da Kaspersky, que identificaram campanhas ativas desde, pelo menos, fevereiro de 2025. Os alvos principais incluem entidades governamentais em Mianmar, na Tailândia e noutros países asiáticos. A autoria dos ataques é atribuída ao grupo Mustang Panda, também conhecido como HoneyMyte ou Bronze President, famoso por visar agências estatais e ONG em todo o mundo.
As análises indicam que as entidades comprometidas já tinham sido alvo de infeções anteriores com variantes mais antigas do ToneShell ou malware como o PlugX, reforçando a persistência destes atacantes.
Um rootkit disfarçado de driver legítimo
O vetor de infeção central desta campanha é um driver de mini-filtro denominado ProjectConfiguration.sys. Este ficheiro consegue passar despercebido nos sistemas Windows porque está assinado digitalmente com um certificado roubado ou divulgado indevidamente, que foi originalmente emitido para a empresa Guangzhou Kingteller Technology Co., Ltd. e que era válido entre 2012 e 2015.
Os drivers de mini-filtro são componentes do sistema operativo que interagem com a gestão de ficheiros, sendo normalmente usados por software de antivírus ou ferramentas de backup para inspecionar dados. Ao utilizar este método, os atacantes conseguem injetar código malicioso diretamente em processos de utilizador, mantendo um nível de privilégio elevado.
Para evitar a deteção estática, o driver não importa funções diretamente. Em vez disso, resolve as APIs do kernel necessárias durante a execução, dificultando a análise por parte de ferramentas de segurança tradicionais.
Defesas neutralizadas e invisibilidade
Uma das características mais alarmantes desta nova variante é a sua capacidade de autodefesa. O rootkit interfere ativamente com as soluções de segurança instaladas na máquina da vítima. Por exemplo, o malware consegue modificar a configuração do driver WdFilter, impedindo que o Microsoft Defender seja carregado corretamente na pilha de operações de entrada e saída (I/O).
Além disso, o driver protege os seus próprios ficheiros e chaves de registo. Se o sistema ou o utilizador tentarem eliminar ou renomear os ficheiros associados ao ataque, o driver interceta essas operações e força-as a falhar. Esta técnica garante que a backdoor permanece ativa e oculta, mesmo que seja detetada visualmente.
A evolução do ToneShell
A China tem sido frequentemente associada a este tipo de ciberespionagem, e a evolução das ferramentas demonstra um investimento contínuo em furtividade. A nova variante do ToneShell analisada apresenta melhorias significativas na forma como comunica com os servidores de controlo.
O tráfego de rede é agora ofuscado com cabeçalhos TLS falsos, fazendo com que as comunicações maliciosas pareçam tráfego seguro e legítimo. O esquema de identificação da máquina infetada também foi alterado para um ID de 4 bytes, abandonando o formato GUID de 16 bytes usado anteriormente.
Entre as capacidades operacionais da backdoor, destacam-se comandos para descarregar e enviar ficheiros, terminar a ligação, criar ficheiros temporários e estabelecer uma shell remota através de um pipe, permitindo aos atacantes o controlo total sobre o sistema comprometido. Devido à natureza desta ameaça, que reside na memória e no kernel, a deteção eficaz exige técnicas avançadas de análise forense de memória.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech