El grupo de hackers chino conocido como Mustang Panda ha aprovechado un controlador de rootkit en modo kernel que antes no estaba documentado para ofrecer una nueva variante de puerta trasera denominada TONESHELL en un ciberataque detectado a mediados de 2025 contra una entidad no especificada en Asia.

Los hallazgos provienen de Kaspersky, que observó la nueva variante clandestina en las campañas de ciberespionaje organizadas por el grupo de hackers contra organizaciones gubernamentales en el sudeste y este de Asia, principalmente en Myanmar y Tailandia.

«El archivo del conductor está firmado con un certificado digital antiguo, robado o filtrado y se registra como controlador de minifiltro en máquinas infectadas», la empresa rusa de ciberseguridad dijo . «Su objetivo final es inyectar un troyano de puerta trasera en los procesos del sistema y brindar protección a los archivos maliciosos, los procesos en modo de usuario y las claves de registro».

La última carga útil que se implementó como parte del ataque es TONESHELL, un implante con capacidades de descarga y caparazón invertidas para llevar el malware de la siguiente etapa a los servidores comprometidos. El uso de TONESHELL se atribuye al Mustang Panda al menos desde finales de 2022.

Tan recientemente como en septiembre de 2025, el actor de la amenaza fue vinculado a los ataques dirigidos a entidades tailandesas con TONESHELL y un gusano USB llamado TONEDISK (también conocido como WispRider) que utiliza dispositivos extraíbles como vector de distribución para una puerta trasera denominada Yokai.

Se dice que la infraestructura de mando y control (C2) utilizada para TONESHELL se erigió en septiembre de 2024, aunque hay indicios de que la campaña en sí no comenzó hasta febrero de 2025. La ruta de acceso inicial exacta utilizada en el ataque no está clara. Se sospecha que los atacantes abusaron de máquinas previamente comprometidas para implementar el controlador malintencionado.

El archivo del controlador (» ProjectConfiguration.sys «) está firmado con un certificado digital de Guangzhou Kingteller Technology Co., Ltd., una empresa china que se dedica a la distribución y el aprovisionamiento de cajeros automáticos (ATM). El certificado fue válido desde agosto de 2012 hasta 2015.

Dado que hay otros artefactos maliciosos no relacionados firmados con el mismo certificado digital, se considera que los atacantes probablemente aprovecharon un certificado filtrado o robado para lograr sus objetivos. El controlador malintencionado viene equipado con dos códigos de shell en modo usuario que están incrustados en la sección .data del archivo binario. Se ejecutan como subprocesos independientes en modo usuario.

«La funcionalidad del rootkit protege tanto el módulo del controlador como los procesos de modo usuario en los que se inyecta el código de puerta trasera, lo que impide el acceso de cualquier proceso del sistema», afirma Kaspersky.

El controlador tiene el siguiente conjunto de funciones -

  • Resuelva las API del kernel requeridas de forma dinámica durante el tiempo de ejecución mediante un algoritmo de hash para hacer coincidir las direcciones de API requeridas
  • Supervise las operaciones de eliminación y cambio de nombre de archivos para evitar que se eliminen o cambien de nombre
  • Rechaza los intentos de crear o abrir claves de registro que coincidan con una lista protegida configurando una rutina RegistryCallback y asegurándote de que funciona en un altitud de 330024 o superior
  • Interfiere con la altitud asignada a WdFilter.sys, un controlador de Microsoft Defender, y cámbiala a cero (tiene un valor predeterminado de 328010 ), lo que evita que se cargue en la pila de E/S
  • Intercepte las operaciones relacionadas con los procesos y deniegue el acceso si la acción se dirige a algún proceso que esté en una lista de ID de procesos protegidos cuando se esté ejecutando
  • Elimine la protección contra rootkits para esos procesos una vez que se complete la ejecución

«Microsoft designa el rango de altitud entre 320 000 y 329999 para el grupo de orden de carga de FSFilter Anti-Virus», explica Kaspersky. «La altitud elegida por el malware supera este rango. Como los filtros con altitudes más bajas ocupan un lugar más profundo en la pila de E/S, el controlador malintencionado intercepta las operaciones con los archivos antes que los filtros legítimos de baja altitud, como los componentes antivirus, lo que le permite eludir las comprobaciones de seguridad».

En última instancia, el controlador está diseñado para eliminar dos cargas útiles en modo usuario, una de las cuales genera un proceso "svchost.exe" e inyecta un pequeño código de shell que provoca retrasos. La segunda carga útil es la puerta trasera TONESHELL que se inyecta en el mismo proceso "svchost.exe».

Una vez lanzada, la puerta trasera establece contacto con un servidor C2 («avocadomechanism [.] com» o «potherbreference [.] com») a través de TCP en el puerto 443, utilizando el canal de comunicación para recibir comandos que le permiten:

  • Crear un archivo temporal para los datos entrantes (0x1)
  • Descargar archivo (0x2/0x3)
  • Cancelar descarga (0x4)
  • Establecer un shell remoto a través de una tubería (0x7)
  • Comando de operador de recepción (0x8)
  • Terminar shell (0x9)
  • Cargar archivo (0xA/0xB)
  • Cancelar la carga (0xC) y
  • Cerrar conexión (0xD)

El desarrollo marca la primera vez que TONSHELL se entrega a través de un cargador en modo kernel, lo que le permite ocultar su actividad a las herramientas de seguridad. Los resultados indican que el controlador es la última incorporación a un conjunto de herramientas más amplio y en evolución que utiliza el Mustang Panda para mantener la persistencia y ocultar su puerta trasera.

El análisis forense de la memoria es clave para analizar las nuevas infecciones de TONESHELL, ya que el código shell se ejecuta completamente en la memoria, afirma Kaspersky, y señala que la detección del código shell inyectado es un indicador crucial de la presencia del backdoor en los servidores comprometidos.

«Las operaciones de HoneyMyte en 2025 muestran una evolución notable hacia el uso de inyectores en modo kernel para implementar ToneShell, lo que mejora tanto el sigilo como la resiliencia», concluyó la empresa.

«Para ocultar aún más su actividad, el conductor primero despliega un pequeño componente en modo usuario que se encarga de la última etapa de inyección. También utiliza múltiples técnicas de ofuscación, rutinas de devolución de llamadas y mecanismos de notificación para ocultar el uso de la API y realizar un seguimiento de la actividad de los procesos y el registro, lo que, en última instancia, refuerza las defensas del backdoor».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.