Старый конь борозды не испортит. Как сертификат десятилетней давности помог хакерам проникнуть в госучреждения Азии

Кибершпионаж с участием китайской группы HoneyMyte (она же Mustang Panda и Bronze President) вышел на новый уровень — специалисты зафиксировали применение усовершенствованной версии вредоносной программы ToneShell, замаскированной с помощью руткита на уровне ядра операционной системы. Эта техника позволила организовать скрытную доставку вредоносного кода и затруднить обнаружение активности на заражённых устройствах.

Согласно данным, собранным командой «Лаборатории Касперского», атаки были направлены на государственные учреждения в странах Азии, включая Мьянму и Таиланд. При этом анализ вредоносного драйвера ProjectConfiguration.sys показал, что активность ведётся не менее чем с февраля 2025 года. Установлено, что целевые системы ранее уже подвергались заражению другими программами, связанными с китайскими шпионскими кампаниями — более ранними версиями ToneShell, червём ToneDisk и вредоносом PlugX.

На этот раз используется минифильтр-драйвер, функционирующий в режиме ядра. Он подписан украденным либо утёкшим сертификатом, выданным в период с 2012 по 2015 год китайской компанией из Гуанчжоу. Такой драйвер встраивается в стек ввода-вывода Windows и позволяет перехватывать операции файловой системы. Благодаря этому он может препятствовать удалению самого себя или своим переименованиям, а также блокировать попытки доступа к ключам реестра, связанным с его службой. Повышенный приоритет по сравнению с антивирусными продуктами достигается за счёт выбора более высокого уровня минифильтра.

Для защиты вредоносной активности используется множество приёмов. Так, список идентификаторов процессов, в которые внедряется вредоносный код, находится под защитой: попытки получить к ним доступ отклоняются. После завершения работы вредоносных компонентов защита снимается. Кроме того, драйвер вмешивается в работу Microsoft Defender, не позволяя загрузить соответствующий модуль фильтрации в файловый стек.

Особое внимание привлекло то, как именно осуществляется внедрение вредоносных компонентов. В коде драйвера размещены два пользовательских шелл-кода, исполняемых в виде отдельных потоков, внедряемых в процессы. Для обхода анализа вредонос не загружает функции напрямую, а получает к ним доступ через перебор загруженных модулей и сопоставление хэшей.

Обновлённый вариант ToneShell включает ряд доработок, направленных на повышение скрытности. Он отказывается от прежней схемы идентификации жертвы, использующей GUID, и переходит на короткий 4-байтный идентификатор. Сетевой трафик теперь маскируется с использованием ложных заголовков TLS, что позволяет затруднить перехват и анализ передачи данных. Также добавлены функции для удалённого управления: загрузка и выгрузка файлов, удалённая оболочка через канал, выполнение команд и завершение соединения.

Команда «Лаборатории Касперского» подчёркивает, что впервые зафиксировано использование режима ядра для доставки ToneShell, что усложняет обнаружение и позволяет скрываться от защитных решений. Авторы отчёта уверены в том, что за атакой стоит группа Mustang Panda. По их оценке, злоумышленники значительно развили методы и инструменты, обеспечивая себе устойчивость и высокую степень незаметности.

В отчёте содержатся основные признаки компрометации, которые могут быть использованы для обнаружения и предотвращения вторжений, связанных с данной вредоносной активностью.