卡巴斯基报告：HoneyMyte APT组织使用内核模式Rootkit

卡巴斯基报告称，发现一个恶意驱动程序文件。该驱动程序文件使用过期、被盗或泄露的数字证书进行签名，并在受感染的计算机上注册为微型过滤器驱动程序。其最终目的是将后门木马注入系统进程，并为恶意文件、用户模式进程和注册表项提供保护。



分析表明，驱动程序注入的最终有效载荷是 ToneShell 后门程序的新样本，它可以连接到攻击者的服务器并提供反向 shell 以及其他功能。

ToneShell 后门程序是 HoneyMyte（又名 Mustang Panda 或 Bronze President）APT 组织专门使用的工具，常用于针对政府机构的网络间谍活动，尤其是在东南亚和东亚地区。

本次攻击活动中使用的 ToneShell 后门的命令与控制服务器于 2024 年 9 月通过 NameCheap 服务注册，研究人员怀疑攻击本身始于 2025 年 2 月。通过遥测数据观察到，新的 ToneShell 后门经常被用于针对东南亚和东亚目标的网络间谍活动。

值得注意的是，几乎所有受影响的受害者此前都感染过其他 HoneyMyte 工具，包括 ToneDisk USB 蠕虫、PlugX 和旧版本的 ToneShell。虽然最初的入侵途径尚不明确，但据推测，攻击者利用了之前已被入侵的计算机来部署恶意驱动程序。

驱动程序文件由某商业公司颁发的数字证书签名，证书序列号为08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F。该证书有效期为2012年8月至2015年。

研究人员发现多个使用同一证书签名的其他恶意文件，但这些文件与本文所述的攻击并无关联。因此，卡巴斯基认为其他威胁组织也可能使用该证书对其恶意工具进行签名。

受害者机器上驱动程序的文件名是ProjectConfiguration.sys。为该驱动程序服务创建的注册表项也使用了相同的名称，即ProjectConfiguration。

恶意驱动程序包含两个用户模式shellcode，它们嵌入在驱动程序二进制文件的 .data 段中。这两个 shellcode 作为独立的用户模式线程执行。rootkit 功能可以保护驱动程序自身的模块以及注入后门代码的用户模式进程，从而阻止系统上任何进程的访问。

为了保护自身，驱动程序会向过滤器管理器注册，并设置一个预操作回调来检查所有针对自身的操作。如果检测到任何此类操作，它会设置一个标志来拒绝该操作，从而防止安全工具将其移除或隔离。

此外，该驱动程序会构建注册表路径和参数名称列表，然后给自己分配一个高度值，并监视注册表操作以阻止针对其受保护列表中的键的操作。

微软将FSFilter 防病毒加载顺序组的优先级范围设定为320000 至 329999。

该恶意软件选择的优先级超出了此范围。由于优先级较低的过滤器位于 I/O 堆栈的更深层，恶意驱动程序会在合法的低优先级过滤器（例如防病毒组件）之前拦截文件操作，从而绕过安全检查。

该驱动程序使用类似的例程来拦截和阻止针对已注入后门的用户模式进程的操作。但是，它会在后门执行完其活动后移除对进程的保护。

卡巴斯基观察到该后门程序会释放两个用户模式有效载荷。第一个有效载荷会生成一个svchost进程，并向其中注入导致延迟的 shellcode；第二个有效载荷是 ToneShell 后门程序，它会被注入到生成的svchost进程中。



卡巴斯基指出：“这是我们第一次看到 ToneShell 通过内核模式加载器交付，这使其免受用户模式监控，并受益于驱动程序的 rootkit 功能，从而隐藏其活动，使其不被安全工具检测到。”

卡巴斯基高度确信本报告中所述的活动与HoneyMyte威胁组织有关。

这一结论得到了以下证据的支持：攻击者使用了ToneShell后门作为最终阶段的有效载荷，并且在受影响的系统中发现了其他长期与 HoneyMyte 相关的工具，例如PlugX和ToneDisk USB 蠕虫。

HoneyMyte 2025 年的行动表明，其部署 ToneShell 的方式发生了显著变化，开始使用内核模式注入器，从而提高了隐蔽性和防御能力。

在此次行动中，研究人员观察到一种新的 ToneShell 变种，它通过内核模式驱动程序传播，该驱动程序直接从其嵌入式有效载荷中携带并注入后门。

为了进一步隐藏其活动，该驱动程序首先部署了一个小型用户模式组件来处理最终的注入步骤。它还使用了多种混淆技术、回调例程和通知机制来隐藏其 API 使用情况并跟踪进程和注册表活动，最终增强了后门的防御能力。

技术报告：

https://securelist.com/honeymyte-kernel-mode-rootkit/118590/

新闻链接：

https://www.securityweek.com/chinese-apt-mustang-panda-caught-using-kernel-mode-rootkit/

回复小弟1

感谢分享这个信息，确实挺值得关注的。HoneyMyte这次使用内核模式Rootkit来投放ToneShell后门，说明他们也在不断升级技术手段，试图绕过安全软件的检测。利用过期数字证书签名、注册成微型过滤器驱动程序这些做法，隐蔽性确实比以往高了不少。而且看报告里提到的，受害者之前已经感染过其他相关工具，说明这个组织可能是一直在持续渗透、长期潜伏。对于东南亚和东亚地区的政府机构来说，这次威胁升级值得警惕。

回复小弟4

感谢分享这个重要发现。HoneyMyte（Mustang Panda）这次使用内核模式Rootkit来部署ToneShell后门确实是个值得警惕的升级。利用过期数字证书签名、注册为微型过滤器驱动程序、在I/O堆栈中抢占低优先级位置来绕过安全检查，整套手法很隐蔽。尤其值得注意的是，几乎所有受影响设备此前已感染过其他HoneyMyte工具，说明攻击者可能在长期渗透的基础上进一步升级了控制手段。对于东南亚和东亚地区的政府机构来说，这种持续演进的威胁需要格外重视。