Mustang Panda despliega un rootkit de kernel inédito para distribuir el backdoor TONESHELL en campañas de ciberespionaje en Asia

## Introducción

El grupo de amenazas persistentes avanzadas (APT) conocido como Mustang Panda ha sido detectado utilizando un nuevo y sofisticado driver rootkit a nivel de kernel para distribuir una versión inédita de su backdoor TONESHELL. Este hallazgo, reportado por los investigadores de Kaspersky tras una campaña activa de ciberespionaje a mediados de 2025, pone de manifiesto la constante evolución de las tácticas, técnicas y procedimientos (TTP) de este actor de origen chino, especializado en la explotación avanzada de sistemas Windows. La campaña, dirigida a una entidad aún no identificada en Asia, revela un incremento significativo en la capacidad de evasión y persistencia de Mustang Panda.

## Contexto del Incidente

Mustang Panda, también identificado como Bronze President, HoneyMyte o TA416, es un colectivo vinculado a intereses estatales chinos, conocido por dirigir ataques de espionaje a instituciones gubernamentales, ONGs y empresas de sectores estratégicos en Europa y Asia. Durante 2024 y 2025, el grupo ha incrementado el uso de técnicas de living-off-the-land y herramientas personalizadas para comprometer infraestructuras críticas y exfiltrar información sensible. La campaña analizada por Kaspersky representa el primer caso documentado en el que Mustang Panda emplea un rootkit de modo kernel desarrollado ad hoc para desplegar malware de segunda fase, en este caso, la versión evolucionada del backdoor TONESHELL.

## Detalles Técnicos

### Rootkit de kernel: vector y persistencia

El componente más novedoso de la campaña es un driver rootkit de kernel no documentado previamente, firmado con un certificado digital posiblemente robado. El driver, compatible con Windows 10 y versiones Server, manipula la memoria del núcleo para ocultar procesos, archivos y conexiones asociadas al backdoor, dificultando su detección por soluciones EDR y antivirus convencionales. Según el análisis de Kaspersky, el rootkit emplea técnicas de hooking de funciones del kernel (NTOSKRNL.EXE) y detiene mecanismos de monitorización de integridad (por ejemplo, ETW y Sysmon).

### TONESHELL: backdoor modular

TONESHELL, en su variante de 2025, se caracteriza por una arquitectura modular que amplía las capacidades tradicionales de C2 (Comando y Control). El payload permite la ejecución remota de comandos arbitrarios, recolección de credenciales, movimiento lateral y exfiltración de archivos utilizando canales cifrados sobre HTTPS y DNS tunneling. La comunicación con los servidores C2 utiliza técnicas de domain fronting y mecanismos de cifrado personalizados no documentados hasta la fecha. El malware implementa persistencia mediante la manipulación de claves de registro y tareas programadas, además de la protección mediante el rootkit mencionado.

### Técnicas MITRE ATT&CK y IoCs

– **Técnicas relacionadas**:
– T1068 (Explotación de vulnerabilidad de elevación de privilegios)
– T1215 (Manipulación de drivers del kernel)
– T1569.002 (Ejecución remota de servicios)
– T1071.004 (C2 sobre DNS)
– **Indicadores de compromiso (IoCs)**:
– Nombres de archivos disfrazados como controladores legítimos (p.ej., `winupdate.sys`)
– Claves de registro alteradas en `HKLMSYSTEMCurrentControlSetServices`
– IPs y dominios C2 localizados principalmente en China y Sudeste Asiático

### CVEs asociados

Aunque el driver rootkit parece ser desarrollado específicamente para esta campaña, se ha detectado la explotación de vulnerabilidades conocidas para la escalada inicial, principalmente CVE-2023-23397 (Microsoft Outlook) y CVE-2024-21412 (Win32k Elevation of Privilege).

## Impacto y Riesgos

La utilización de un rootkit de kernel incrementa drásticamente la superficie de persistencia y evasión, permitiendo a Mustang Panda operar de forma sigilosa durante periodos prolongados. Organizaciones sin soluciones de seguridad capaces de inspeccionar drivers firmados y actividades de bajo nivel corren un riesgo elevado de compromiso. El uso de TONESHELL habilita la filtración continua de datos sensibles y acceso a redes internas, lo que puede derivar en pérdida de propiedad intelectual, daño reputacional y sanciones regulatorias bajo normativas como GDPR o NIS2 en caso de exposición de datos personales o de infraestructuras críticas.

## Medidas de Mitigación y Recomendaciones

– **Monitorización de drivers firmados**: Implementar soluciones EDR con capacidad para auditar y bloquear la carga de controladores de kernel no autorizados.
– **Actualización de sistemas**: Corregir vulnerabilidades conocidas como CVE-2023-23397 y CVE-2024-21412 en todos los endpoints.
– **Seguridad de correo electrónico**: Reforzar filtrado de adjuntos y enlaces maliciosos, y concienciar a usuarios sobre spear phishing.
– **Auditoría de red y registro**: Configurar alertas ante modificaciones sospechosas en claves de registro y creación de tareas persistentes.
– **Zero Trust y segmentación de red**: Limitar el movimiento lateral restringiendo privilegios y segmentando accesos en la infraestructura.

## Opinión de Expertos

Según Ivan Kwiatkowski, Senior Security Researcher de Kaspersky, “el salto de Mustang Panda hacia el desarrollo de rootkits de kernel propios constituye una señal inequívoca de sofisticación y recursos. Las técnicas empleadas superan las capacidades de muchas herramientas de defensa tradicionales, subrayando la necesidad de estrategias de seguridad multicapa y la adopción de tecnologías de detección proactiva”. Otros analistas destacan que la proliferación de rootkits firmados mediante certificados robados evidencia la urgencia de mecanismos de revocación y validación más estrictos en la cadena de confianza de Windows.

## Implicaciones para Empresas y Usuarios

Empresas del sector público y privado, especialmente en Asia y Europa, deben reevaluar su postura de ciberseguridad ante el aumento de ataques basados en rootkits de kernel y backdoors modulares. Los equipos SOC y los CISOs tienen que verificar que sus sistemas de detección cubren amenazas a bajo nivel y mantener un inventario actualizado de drivers y servicios críticos. La colaboración internacional y el intercambio de IoCs serán claves para frenar el impacto de campañas como la de Mustang Panda.

## Conclusiones

La campaña de Mustang Panda marca un punto de inflexión en la sofisticación del ciberespionaje dirigido por APTs chinos. El uso de rootkits de kernel inéditos y variantes avanzadas de TONESHELL representa un desafío significativo para la defensa corporativa. La respuesta debe centrarse en la actualización permanente, la monitorización avanzada de endpoints y la adopción de un enfoque Zero Trust. Los incidentes recientes refuerzan la importancia de la ciberinteligencia y la cooperación entre equipos de seguridad a nivel global.

(Fuente: feeds.feedburner.com)