Chinese state hackers use rootkit to hide ToneShell malware activity

2 minute de lecture

Mis à jour : December 30, 2025

Nouvelle tactique d’un groupe de cyberespionnage chinois : un rootkit au niveau du noyau pour dissimuler ToneShell

Une nouvelle variante du cheval de Troie d’espionnage ToneShell, fréquemment utilisé par le groupe chinois Mustang Panda (également connu sous les noms de HoneyMyte ou Bronze President), a été observée dans des attaques ciblant des organisations gouvernementales en Asie, notamment au Myanmar et en Thaïlande. Cette fois, le malware est déployé via un chargeur opérant au niveau du noyau (kernel-mode loader) sous la forme d’un pilote de mini-filtre système, nommé ProjectConfiguration.sys.

Ce rootkit est conçu pour se dissimuler activement des outils de sécurité. Il intercepte et bloque les opérations de suppression ou de renommage visant ses propres fichiers et clés de registre. De plus, il interfère avec Microsoft Defender en empêchant le chargement du pilote WdFilter, et protège les processus contenant sa charge utile en les marquant comme “protégés” et en limitant l’accès à leurs descripteurs. Pour échapper à l’analyse statique, il résout les appels aux API du noyau dynamiquement.

La nouvelle variante de ToneShell elle-même présente des améliorations en matière de furtivité, notamment un nouveau système d’identification des hôtes et un trafic réseau obfusqué par de faux en-têtes TLS.

Points clés :

Attribution : Mustang Panda (HoneyMyte, Bronze President), groupe de cyberespionnage chinois.
Cibles : Organisations gouvernementales en Asie (Myanmar, Thaïlande, etc.).
Nouveauté technique : Utilisation d’un rootkit au niveau du noyau (mini-filtre pilote) pour masquer le malware ToneShell.
Mécanismes de furtivité du rootkit : Blocage des opérations de fichiers, protection des clés de registre, interférence avec Microsoft Defender, protection des processus hôtes.
Évolutions de ToneShell : Changement du schéma d’identification des hôtes, obfuscation du trafic réseau.
Attaques antérieures : Les cibles ont souvent été préalablement infectées par d’anciennes variantes de ToneShell, PlugX ou le ver ToneDisk.

Vulnérabilités exploitées :

L’article ne mentionne pas de vulnérabilités spécifiques de type CVE. L’infection semble résulter de l’exécution du pilote compromis, dont la furtivité permet de contourner les défenses existantes.

Recommandations :

La mémoire vive (memory forensics) est recommandée comme méthode clé pour découvrir les infections par ToneShell, surtout lorsqu’elles sont soutenues par ce nouveau chargeur au niveau du noyau.
Les organisations sont invitées à se référer aux indicateurs de compromission (IoCs) fournis par les chercheurs pour détecter les intrusions de Mustang Panda.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese state hackers use rootkit to hide ToneShell malware activity

Partager sur

Vous pourriez aimer

Zoom Stealer browser extensions harvest corporate meeting intelligence

Extension de navigateur : une menace pour la confidentialité des réunions en ligne

Using AI-Generated Images to Get Refunds

Fraude en ligne : l’IA au service des escroqueries aux remboursements

US cybersecurity experts plead guilty to BlackCat ransomware attacks

Silver Fox Targets Indian Users With Tax-Themed Emails Delivering ValleyRAT Malware

Campagne d’hameçonnage ciblant l’Inde avec le malware ValleyRAT