在网络安全领域的一项重大发现中，卡巴斯基安全列表（Securelist）的研究人员发现了一场针对东南亚和东亚政府办公室的新型网络间谍活动。该活动可能始于2025年2月，攻击者利用Rootkit将恶意代码深度隐藏在计算机核心中，使其对标准安全工具“隐形”。

卡巴斯基将该攻击与一个名为HoneyMyte（又称Bronze President或Mustang Panda）的组织联系起来。根据分析，黑客使用名为ProjectConfiguration.sys的恶意驱动程序文件，专门针对缅甸和泰国。

绕过数字守卫 正如我们所知，大多数反病毒程序扫描的是表面的可疑文件。然而，它们无法识别此次攻击，因为该驱动程序注册为“迷你过滤器”（mini-filter）——一种位于系统流量控制深处的工具。

为了使自身看起来合法，黑客使用了从广州金德勒科技（Guangzhou Kingteller Technology）盗取的数字证书（序列号：08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F）。该证书虽已于2015年过期，但仍有助于恶意软件绕过内部安全警告。

为了进一步隐藏踪迹，该驱动程序使用了动态解析技术。该技术会打乱其内部代码，使安全软件难以理解其行为。进一步的探测表明，该驱动程序极其顽固。如果反病毒软件尝试删除或重命名它，驱动程序会直接阻止该操作。它甚至通过篡改其“高度”（altitude）设置来“致盲”微软 Defender。博客文章解释说，这基本上允许恶意软件位于系统中反病毒软件“之下”，在安全软件甚至看到命令之前就将其拦截。

ToneShell后门 此次入侵的最终目标是投放一个被称为 ToneShell后门 的间谍工具。该后门充当黑客窃取文件、下载数据或运行远程命令的秘密网关。

一个值得注意的发现是，该组织早在2024年9月就通过NameCheap注册了他们的控制服务器（avocadomechanism.com 和 potherbreference.com），比实际攻击开始时间早了数月。

“这是我们第一次看到ToneShell通过内核模式加载器进行投放，”研究人员指出，并解释这为间谍工具提供了高级别的保护，使其难以被捕获。

在攻击过程中，驱动程序会释放两个有效载荷：首先，它会创建一个“宿主”进程（svchost.exe）作为诱饵，然后将ToneShell后门注入到该进程中。为了使通信保持秘密，ToneShell使用了一种伪造TLS的技巧，模仿安全的TLS 1.3流量的标记。

有趣的是，大多数受害者已经感染了HoneyMyte的旧工具，如ToneDisk USB蠕虫或PlugX。由于该恶意软件完全在计算机内存中运行，并使用Shellcode保护其自身进程，因此极难检测。因此，卡巴斯基的研究人员建议进行深度内存审计并仔细监控网络流量，以捕获这些虚假连接。