TONESHELL Kernel Rootkit Firmato: Mustang Panda aggira Microsoft Defender e spia governi in Asia

News
Visite: 187

Nel panorama della cyber security, una delle evoluzioni più insidiose è l’uso di componenti kernel mode per nascondere malware e aggirare i controlli. Una recente campagna di cyber espionage attribuita al gruppo Mustang Panda mostra proprio questo salto di qualità, con la distribuzione di una variante aggiornata della backdoor TONESHELL tramite un rootkit in modalità kernel firmato digitalmente. Gli obiettivi osservati riguardano reti governative nel Sud Est e nell’Est asiatico, con particolare attenzione a Myanmar e Thailandia, confermando un interesse costante verso infrastrutture istituzionali.

L’elemento centrale dell’attacco è un driver malevolo registrato come minifilter driver, progettato per iniettare codice in processi di sistema e proteggere file, processi user mode e chiavi di registro legate all’infezione. Il driver risulta firmato con un certificato digitale datato e associato a una società cinese, con validità terminata anni fa. La presenza di altri artefatti malevoli firmati con lo stesso certificato suggerisce un possibile furto o leak, una tecnica che aumenta la probabilità di esecuzione su Windows e riduce le segnalazioni iniziali.

Dal punto di vista tecnico, il driver risolve dinamicamente le API del kernel tramite hashing, monitora operazioni di cancellazione e rinomina per impedire la rimozione, e usa callback sul registro per bloccare accessi a chiavi protette. Un passaggio particolarmente rilevante è l’interferenza con WdFilter.sys, componente collegata a Microsoft Defender, tramite la manipolazione dell’altitude nel gruppo di caricamento dei filtri antivirus. Posizionandosi a un altitude superiore, il rootkit intercetta le operazioni di I/O prima dei filtri legittimi a livello più basso, eludendo parte dei controlli di sicurezza.

Il payload finale è TONESHELL, un impianto con funzioni di reverse shell e downloader per scaricare ulteriori componenti. Il malware comunica con infrastrutture di command and control su TCP porta 443 e supporta comandi per download e upload di file, gestione di shell remota e chiusura della sessione. La catena di esecuzione include la creazione di un processo svchost.exe e l’iniezione in memoria, rendendo la memory forensics fondamentale per individuare indicatori affidabili, come lo shellcode iniettato.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2026 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta