中国关联的APT组织野马熊猫（又称Hive0154、HoneyMyte、Camaro Dragon、RedDelta或Bronze President）被观测到使用一个嵌入了Shellcode的签名内核模式Rootkit驱动程序来部署其ToneShell后门。

野马熊猫自至少2012年以来一直活跃，目标包括美国和欧洲的实体，如政府组织、智库、非政府组织，甚至梵蒂冈的天主教组织。

2025年中，卡巴斯基的研究人员在亚洲的系统上发现了一个恶意的内核驱动程序。该驱动程序使用被盗或泄露的证书签名，并作为迷你过滤器驱动程序安装。其目的是保护恶意组件并将后门注入系统进程。

“该驱动程序文件由广州金拓科技有限公司的数字证书签名，序列号为08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F。该证书有效期从2012年8月至2015年。”卡巴斯基发布的报告称。“我们发现了多个使用同一证书签名的其他恶意文件，但这些文件与本文描述的攻击没有任何关联。因此，我们认为其他威胁行为体也一直在使用该证书签署他们的恶意工具。”

最终的载荷是ToneShell后门的一个新变种，可启用远程访问和命令执行。ToneShell与野马熊猫APT组织有专属关联。该活动针对东南亚和东亚的政府实体，特别是缅甸和泰国，攻击可能始于2025年2月。

名为ProjectConfiguration.sys的恶意驱动程序将自己安装为内核迷你过滤器，并包含在两个独立线程中执行的用户模式Shellcode。它使用哈希值动态解析Windows API以隐藏其行为，并将ToneShell后门注入系统进程。

该驱动程序通过阻止文件删除或重命名尝试，并通过注册的回调保护特定注册表项（返回访问被拒绝错误）来保护自身。它特意使用高过滤器高度来拦截杀毒软件驱动程序之前的操作，甚至禁用了微软Defender的WdFilter驱动程序。

“最后，恶意软件篡改分配给WdFilter（一个关键的微软Defender驱动程序）的高度值。它定位包含驱动程序高度值的注册表项，并将其更改为0，从而有效阻止WdFilter加载到I/O堆栈中。”报告继续写道。

为了保护被注入的进程，它拦截句柄的创建和复制，拒绝对受保护进程ID（PID）的访问。该驱动程序启动一个svchost进程，注入一个延迟Shellcode，然后注入最终的ToneShell载荷，并在执行完成前维持保护，之后清除痕迹并终止进程。

最终的攻击阶段部署了ToneShell，这是首次观测到使用内核模式加载器来投递它。这种方法使恶意软件免受用户模式监控，并利用Rootkit功能规避安全工具。与早期使用GUID的变种不同，此版本通过标记文件（C:\ProgramData\MicrosoftOneDrive.tlb）创建或验证主机ID，如果不存在则生成伪随机标识符。ToneShell通过原始TCP端口443与C2服务器通信，使用伪造的TLS 1.3报头和加密载荷来伪装流量。

它支持文件传输、远程Shell访问、会话控制和命令执行，从而实现对受感染系统的完全远程控制。

“我们高度确信地评估，本报告中描述的活动与HoneyMyte威胁行为体有关。这一结论得到了使用ToneShell后门作为最终阶段载荷的支持，以及在受影响的系统上存在与HoneyMyte长期关联的额外工具，如PlugX和ToneDisk USB蠕虫。”报告总结道。“由于Shellcode完全在内存中执行，内存取证对于发现和分析此次入侵变得至关重要。检测注入的Shellcode是ToneShell存在于受感染主机上的关键指标。”

9月，野马熊猫被发现使用更新版的TONESHELL后门和一个先前未记录的名为SnakeDisk的USB蠕虫。