Se infiltraron en lo más íntimo —mejor dicho, en el núcleo—: por qué tu antivirus no detecta al nuevo espía chino

El ciberespionaje atribuido al grupo chino HoneyMyte (también conocido como Mustang Panda y Bronze President) ha alcanzado un nuevo nivel: especialistas han detectado el uso de una versión mejorada del malware ToneShell, disfrazada mediante un rootkit a nivel del núcleo del sistema operativo. Esta técnica permitió organizar la entrega sigilosa de código malicioso y dificultar la detección de la actividad en dispositivos infectados.

Según los datos, recopilados por el equipo de Kaspersky Lab, los ataques se dirigieron a instituciones gubernamentales en países de Asia, incluidos Myanmar y Tailandia. El análisis del controlador malicioso ProjectConfiguration.sys mostró que la actividad se ha desarrollado desde febrero de 2025 como mínimo. Se determinó que los sistemas objetivo ya habían sido infectados anteriormente por otros programas relacionados con campañas de espionaje chinas: versiones previas de ToneShell, el gusano ToneDisk y el malware PlugX.

En esta ocasión se utiliza un controlador minifiltro que funciona a nivel del núcleo. Está firmado con un certificado robado o filtrado, emitido entre 2012 y 2015 por una empresa china de Guangzhou. Este controlador se integra en la pila de E/S de Windows y permite interceptar operaciones del sistema de archivos. Gracias a ello puede impedir su propia eliminación o su renombrado, así como bloquear intentos de acceso a claves del registro relacionadas con su servicio. La prioridad elevada frente a productos antivirus se consigue al elegir un nivel de minifiltro más alto.

Se emplean múltiples técnicas para proteger la actividad maliciosa. Por ejemplo, la lista de identificadores de procesos en los que se inyecta el código malicioso está protegida: los intentos de acceder a ella son rechazados. Tras la finalización de los componentes maliciosos, la protección se levanta. Además, el controlador interfiere con Microsoft Defender, impidiendo que su módulo de filtrado se cargue en la pila de archivos.

Llamó la atención la forma en que se realiza la inyección de los componentes maliciosos. En el código del controlador hay dos shellcodes de usuario, ejecutados como hilos independientes que se inyectan en procesos. Para evadir el análisis, el malware no carga funciones directamente, sino que accede a ellas recorriendo los módulos cargados y comparando hashes.

La versión actualizada de ToneShell incluye varias mejoras destinadas a aumentar el sigilo. Renuncia al anterior esquema de identificación de la víctima que empleaba un GUID y pasa a un identificador corto de 4 bytes. El tráfico de red ahora se camufla mediante encabezados TLS falsos, lo que dificulta la interceptación y el análisis de la transmisión de datos. También se añadieron funciones de control remoto: carga y descarga de archivos, una shell remota por canal, ejecución de comandos y cierre de la conexión.

El equipo de Kaspersky Lab subraya que se ha registrado por primera vez el uso del modo núcleo para la entrega de ToneShell, lo que complica su detección y permite ocultarse de las soluciones de defensa. Los autores del informe están convencidos de que tras el ataque está el grupo Mustang Panda. Según su evaluación, los atacantes han desarrollado significativamente sus métodos e instrumentos, garantizando resiliencia y un alto grado de sigilo.

El informe contiene indicadores clave de compromiso que pueden emplearse para detectar y prevenir intrusiones relacionadas con esta actividad maliciosa.