ztevenreal
- Mustang Panda implementó puertas traseras ToneShell mejoradas contra organizaciones gubernamentales asiáticas
- La nueva variable utiliza un compensador de minifiltro firmado, lo que permite el sigilo similar a un rootkit y la manipulación del Defender
- Kaspersky recomienda examen forense de memoria e IoC para detectar infecciones en sistemas comprometidos
Se ha observado que los actores de amenazas patrocinados por el estado chino, conocidos como Mustang Panda, apuntan a organizaciones gubernamentales de varios países asiáticos con una traducción mejorada de la puerta trasera ToneShell.
Esto es según los investigadores de ciberseguridad Kaspersky, quienes recientemente analizaron un compensador de archivo bellaco que encontraron en computadoras pertenecientes a organizaciones gubernamentales en Myanmar, Tailandia y otros.
El compensador llevó al descubrimiento de ToneShell, una puerta trasera que otorga a los atacantes comunicación continuo a los dispositivos comprometidos, a través del cual pueden cargar y descargar archivos, crear nuevos documentos y más.
Minifiltros y controladores en modo kernel
La nueva variable caldo con mejoras, agregó Kaspersky, incluido el establecimiento de un shell remoto a través de una tubería, la terminación del shell, la anulación de cargas, el pestillo de conexiones, la creación de archivos temporales para los datos entrantes y más.
ToneShell se utiliza generalmente para campañas de ciberespionaje. Al parecer, los ordenadores de las víctimas igualmente estaban infectados con otros Todavía hay malware, incluidos PlugX y el helminto USB ToneDisk. La campaña probablemente comenzó en febrero de 2025, especulan los investigadores.
Pero lo que hace que esta campaña verdaderamente destaque es el uso de un compensador de minifiltro firmado con un certificado robado o filtrado.
“Esta es la primera vez que hemos gastado ToneShell entregado a través de un cargador en modo kernel, brindándole protección contra el monitoreo en modo sucesor y beneficiándose de las capacidades de rootkit del compensador que oculta su actividad de las herramientas de seguridad”, dijo Kaspersky.
Los minifiltros son controladores en modo kernel que se encuentran adentro de la pila del sistema de archivos de Windows e interceptan las operaciones del sistema de archivos en tiempo existente. Permiten que el software vea, bloquee, modifique o registre la actividad de los archivos ayer de que lleguen al disco y son parte del situación del Administrador de filtros del sistema de archivos de Microsoft.
Entre otras cosas, dejaron que los atacantes manipularan Microsoft Defender, asegurándose de que no se cargara en la pila de E/S.
Para defenderse de los nuevos ataques, los investigadores recomiendan el examen forense de la memoria como la forma número uno de detectar infecciones ToneShell. Todavía compartieron una tira de indicadores de compromiso (IoC) que pueden estar de moda para determinar si un sistema fue atacado o no.
A través de pitidocomputadora
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para cobrar noticiario, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el renuevo Seguir!
Y por supuesto igualmente puedes Siga TechRadar en TikTok para noticiario, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp igualmente.
