ابزار تازه هکرهای چینی برای پنهان‌سازی تون شل

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، پژوهشگران شرکت کسپرسکی از شناسایی نمونه‌ای جدید از درِپشتی تون شل (ToneShell) خبر داده‌اند که این‌بار از طریق یک بارگذار در سطح کرنل (Kernel-mode loader) توزیع شده و در حملاتی علیه سازمان‌های دولتی مورد استفاده قرار گرفته است.

تون شل معمولاً در کارزارهای جاسوسی سایبری منتسب به چین مشاهده می‌شود و این نسخه جدید به گروه موستانگ پاندا (Mustang Panda)، که با نام‌های هانی مایت (HoneyMyte) یا برنز پرزیدنت (Bronze President) نیز شناخته می‌شود، نسبت داده شده است.

بر اساس گزارش کسپرسکی، این بدافزار دست‌کم از فوریه ۲۰۲۵ در حملاتی علیه نهادهای دولتی در میانمار، تایلند و سایر کشورهای آسیایی استفاده شده است.

شواهد نشان می‌دهد بسیاری از قربانیان پیش‌تر نیز به نسخه‌های قدیمی تون شل، بدافزار پلاگ ایکس (PlugX) یا کرم یو اس بی (USB) موسوم به تون دیسک (ToneDisk) آلوده بوده‌اند که همگی به عوامل دولتی چینی نسبت داده می‌شوند.

نکته کلیدی در این حملات، استفاده از یک روت‌کیت جدید در قالب درایور مینی فیلتر (mini-filter) با نام ProjectConfiguration.sys است.

این درایور که با یک گواهی دیجیتال سرقت‌شده یا افشاشده متعلق به یک شرکت چینی امضا شده، قادر است عملیات فایل، رجیستری و حتی اجزای امنیتی ویندوز را کنترل و دستکاری کند.

این روت‌کیت با جلوگیری از حذف یا تغییر نام خود، محافظت از کلیدهای رجیستری و ایجاد اختلال در عملکرد مایکروسافت دیفندر (Microsoft Defender)، سطح بالایی از پنهان‌کاری را فراهم می‌کند.

نسخه جدید تون شل همچنین تغییراتی در شناسایی میزبان و پنهان‌سازی ترافیک شبکه اعمال کرده و از سربرگ‌های جعلی TLS برای استتار ارتباطات استفاده می‌کند.

این بدافزار از مجموعه‌ای از دستورات برای دانلود و آپلود فایل، اجرای شل از راه دور و مدیریت ارتباط با مهاجم پشتیبانی می‌کند.

کسپرسکی تأکید کرده است که برای شناسایی این تهدید، تحلیل حافظه (Memory Forensics) اهمیت حیاتی دارد و با اطمینان بالا این کارزار را به گروه موستانگ پاندا نسبت داده است؛ گروهی که به‌وضوح در حال تکامل تاکتیک‌ها و افزایش توان پنهان‌کاری خود است.