Группа Mustang Panda, имеющая связи с Китаем, продолжает развивать свой инструментарий, создавая новые варианты бэкдора ToneShell. Недавно обнаруженный гибридный образец, хотя и не содержит принципиально новых функций, демонстрирует усовершенствованные методы противодействия анализу и обфускации кода, что затрудняет его обнаружение. Особое внимание привлекает целевой регион - Мьянма, что отражает растущее использование киберопераций для продвижения геополитических интересов.
Описание
ToneShell представляет собой облегчённый бэкдор, который обычно доставляется через механизм подмены DLL (DLL sideloading), упакованный в сжатые архивы вместе с подписанными легитимными исполняемыми файлами. Распространение часто происходит через фишинговые ссылки на облачные хранилища. В 2025 году Zscaler описал обновления, включающие переход на заголовки FakeTLS, соответствующие TLS 1.3, использование идентификаторов на основе GUID и схему шифрования с rolling-XOR.
Новый вариант, обнаруженный в ходе технического анализа, поставляется в ZIP-архиве с названием на языке Мьянмы, которое переводится как "TNLA и другие революционные силы". Внутри находится библиотека SkinH.dll, дата компиляции которой указана как 14 июля 2025 года. Хеш SHA256 файла: e7b29611c789a6225aebbc9fee3710a57b51537693cb2ec16e2177c22392b546.
Код во многом повторяет предыдущие версии ToneShell. На начальном этапе выполняется проверка пути модуля на наличие строки Google\DriveFS\Scratch. Если она не обнаружена, бэкдор анализирует родительский процесс, пытаясь идентифицировать GoogleDrive, - вероятно, эта мера предназначена для предотвращения случайного заражения самих злоумышленников. Далее создаётся мьютекс Global\SingleCorporation12AD8B для обеспечения единственного экземпляра процесса.
Для обеспечения устойчивости бэкдор копирует себя и системные DLL (msvcr100.dll, msvcp100.dll, mfc100.dll) в случайную папку в каталоге AppData, имя которой генерируется из 6 случайных символов. Затем создаётся задача в Планировщике заданий с именем dokanctl, которая запускается каждую минуту и выполняет скопированный файл svchosts.exe.
Одной из ключевых особенностей является использование хеширования API-функций через алгоритм rolling hash, что затрудняет статический анализ. С помощью проекта HashDB удалось восстановить оригинальные имена функций, что упрощает дальнейшее исследование.
Для противодействия анализу и sandbox-системам применяются разнообразные методы: многократное создание и удаление временных файлов, циклы с рандомизированными задержками, проверки счётчика времени, бессмысленные строковые сравнения и вызовы неиспользуемых API. Любопытно, что в качестве заполнителя кода используются тексты с сайтов OpenAI и Pega AI, не несущие функциональной нагрузки, но усложняющие анализ.
Как и в предыдущих версиях, бэкдор генерирует уникальный идентификатор для каждого заражённого устройства, сохраняя его в файле C:\ProgramData\SystemRuntimeLag.inc. Для связи с командным сервером используется адрес 146.70.29[.]229 на порту 443. Трафик маскируется под TLS-заголовки, а полезная нагрузка шифруется с помощью XOR.
На основе этого адреса был обнаружен ещё один вариант бэкдора - node.dll, скомпилированный 23 марта 2025 года и распространяемый в архиве update.zip. Он использует те же команды и методы противодействия анализу.
В заключение, хотя новый вариант ToneShell не привносит кардинальных изменений, он демонстрирует адаптацию группировки Mustang Panda к мерам защиты. Устойчивое целевое воздействие на Мьянму подтверждает использование киберопераций в качестве инструмента геополитического влияния, что требует повышенного внимания со стороны специалистов по безопасности.
Индикаторы компрометации
IPv4 Port Combinations
- 146.70.29.229:443
SHA256
- 543024edc9f160cc1cedcffc3de52bfa656daa0ec9ed351331d97faaa67d0d99
- a58868b3d50b775de99278eeb14da8b7409b165aa45313c6d9fa35ac30d2cda2
- e7b29611c789a6225aebbc9fee3710a57b51537693cb2ec16e2177c22392b546
