Mustang Panda 使用签名的内核模式根套件加载 TONESHELL 后门

中国黑客组织 Mustang Panda（亦称 HoneyMyte）利用一个此前未公开的内核模式根套件驱动程序，向 2025 年中期在亚洲的未指明目标发起网络攻击，并投放了名为 TONESHELL 的新型后门变体。

此情报来自卡巴斯基，卡巴斯基观察到该后门变体出现在该组织针对东南亚和东亚（主要是缅甸和泰国）政府机构的网络间谍行动中。

“该驱动文件使用一枚旧的、被盗或泄露的数字证书进行签名，并在被感染机器上注册为 minifilter 驱动，”俄罗斯网络安全公司卡巴斯基说明。"其最终目标是向系统进程注入后门特洛伊木马，并为恶意文件、用户模式进程以及注册表键提供保护。"

攻击的最终负载是 TONESHELL，这是一款具备反向 shell 与下载器功能的植入式程序，用于在受害主机上获取后续阶段的恶意软件。自 2022 年底起，TONESHELL 已被归因于 Mustang Panda。

截至 2025 年 9 月，该威胁行为者仍被关联到针对泰国实体的攻击，使用 TONESHELL 以及名为 TONEDISK（亦称 WispRider）的 USB 蠕虫，该蠕虫通过可移动设备分发名为 Yokai 的后门。

据称，TONESHELL 使用的指挥控制（C2）基础设施建于 2024 年 9 月，但活动本身可能直到 2025 年 2 月才正式展开。具体的初始访问途径尚不明确，推测攻击者可能利用先前已被妥协的机器来部署恶意驱动。

驱动文件（“ProjectConfiguration.sys”）使用广州金泰科技有限公司的数字证书进行签名，该证书在 2012 年 8 月至 2015 年有效。由于同一证书还签名了其他不相关的恶意工件，推断威胁行为者可能使用了泄露或被盗的证书来实现其目的。该恶意驱动携带两个用户模式 shellcode，嵌入在二进制文件的 .data 段中，并作为独立的用户模式线程执行。

卡巴斯基表示，根套件功能可保护驱动本身以及注入后门代码的用户模式进程，阻止系统上任何进程对其进行访问。

驱动具备以下功能：

• 通过哈希算法在运行时动态解析所需的内核 API 地址
• 监控文件删除和重命名操作，以防止自身被删除或改名
• 通过注册表回调例程拦截并拒绝对受保护列表中键的创建或打开请求，且该回调运行于海拔 330024 或更高的层级
• 干扰分配给 Microsoft Defender 驱动 WdFilter.sys 的海拔，将其改为零（默认值为 328010），从而阻止其加载到 I/O 栈中
• 拦截进程相关操作，若目标进程在受保护进程 ID 列表中则拒绝访问
• 在执行完成后移除对这些进程的根套件保护

卡巴斯基解释道，Microsoft 将 320000–329999 的海拔范围指定给 FSFilter 防病毒加载顺序组，而恶意驱动选择的海拔超出了该范围。由于海拔更低的过滤器位于 I/O 栈的更深层，恶意驱动能够在合法的低海拔过滤器（如杀毒组件）之前拦截文件操作，从而规避安全检查。

该驱动最终设计为投放两个用户模式负载，其中一个会生成一个 “svchost.exe” 进程并注入一个产生小延迟的 shellcode，第二个负载即为注入同一 “svchost.exe” 进程的 TONESHELL 后门。

后门启动后会通过 TCP 443 端口与 C2 服务器（“avocadomechanism[.]com” 或 “potherbreference[.]com”）建立联系，并使用以下指令进行控制：

• 创建临时文件用于接收数据 (0x1)
• 下载文件 (0x2 / 0x3)
• 取消下载 (0x4)
• 通过管道建立远程 shell (0x7)
• 接收操作员指令 (0x8)
• 终止 shell (0x9)
• 上传文件 (0xA / 0xB)
• 取消上传 (0xC)
• 关闭连接 (0xD)

该开发标志着 TONESHELL 首次通过内核模式加载器交付，使其活动能够更好地隐藏在安全工具之外。调查表明，驱动是 Mustang Panda 持续演进的工具集最新成员，用于保持持久性并隐藏其后门。

卡巴斯基指出，内存取证是分析新型 TONESHELL 感染的关键，因为 shellcode 完全在内存中执行，检测注入的 shellcode 是识别受感染主机的关键指示。

公司总结道：“HoneyMyte 在 2025 年的行动显示出明显的演进趋势，即使用内核模式注入器部署 TONESHELL，从而提升隐蔽性与韧性。”

为进一步隐藏活动，驱动首先部署一个小型用户模式组件完成最终注入步骤，并使用多种混淆技术、回调例程和通知机制隐藏 API 使用情况并追踪进程与注册表活动，最终加强后门的防御能力。