Mustang Panda eleva el ciberespionaje con rootkits en modo kernel y una nueva variante de TONESHELL

El grupo de hackers chino Mustang Panda, también conocido como HoneyMyte o Bronze President, ha evolucionado significativamente sus tácticas de ciberespionaje al incorporar un rootkit en modo kernel firmado para desplegar una nueva variante del backdoor TONESHELL.
La amenaza fue detectada a mediados de 2025 por Kaspersky y se ha utilizado en campañas dirigidas contra entidades gubernamentales en Asia Sudoriental y Oriental, con foco prioritario en Myanmar y Tailandia.

Este avance marca un salto técnico relevante: el uso de certificados digitales robados permite a los atacantes evadir mecanismos de detección tradicionales y operar a un nivel de privilegio difícil de monitorear.

Detalles técnicos del ataque

El vector central es un driver malicioso denominado ProjectConfiguration.sys, registrado como un minifilter driver firmado con un certificado legítimo de Guangzhou Kingteller Technology Co., Ltd., válido entre 2012 y 2015.

Entre sus características técnicas destacan:

• Inyección de shellcodes en procesos legítimos como svchost.exe para cargar el backdoor TONESHELL.

• Protección activa de módulos, procesos y claves de registro mediante callbacks en kernel.

• Uso de hashing dinámico de APIs y manipulación de altitudes en la pila de I/O, dificultando la inspección por soluciones de seguridad.

• Bloqueo deliberado de antivirus, incluido Microsoft Defender, al interceptar operaciones de archivos y procesos.

• Eliminación temporal de sus propias protecciones solo al finalizar la ejecución, reduciendo rastros persistentes.

Este enfoque permite que el rootkit mantenga control del sistema sin levantar alertas visibles en espacio de usuario.

Capacidades de la nueva variante de TONESHELL

El backdoor TONESHELL, utilizado por Mustang Panda desde al menos 2022, ha sido reforzado para operar de forma más sigilosa en modo kernel.

Sus capacidades incluyen:

• Comunicación C2 vía TCP/443 con dominios como avocadomechanism[.]com y potherbreference[.]com.

• Ejecución de shells remotos, carga y descarga de archivos, ejecución arbitraria de comandos y cierre controlado de sesiones.

• Ocultamiento de actividad en memoria, con alta resistencia frente a herramientas EDR y antivirus convencionales.

Según el análisis, la infraestructura C2 se estableció en septiembre de 2024, mientras que las campañas activas comenzaron en febrero de 2025, evidenciando una preparación prolongada y bien planificada.

Recomendaciones de mitigación

Kaspersky subraya que la detección de esta amenaza no puede depender únicamente de análisis en disco, ya que TONESHELL opera completamente en memoria. Entre las principales recomendaciones se incluyen:

• Realizar análisis forense de memoria para identificar shellcodes inyectados.

• Monitorear la carga de drivers firmados con certificados expirados o inusuales.

• Detectar altitudes anómalas en filtros del sistema de archivos (FS minifilters).

• Vigilar conexiones salientes a dominios C2 sospechosos.

• Mantener parches de kernel actualizados y desplegar EDR avanzados con visibilidad en modo kernel.

Impacto y contexto

La adopción de rootkits firmados en modo kernel confirma la madurez técnica de las APT chinas y refuerza la necesidad de defensas proactivas, especialmente para organismos gubernamentales y sectores críticos en Asia. Este caso demuestra que la confianza implícita en certificados digitales sigue siendo un vector explotable cuando la cadena de confianza se ve comprometida.