O grupo de hackers conhecido como Mustang Panda, vinculado à China, utilizou um driver de rootkit em modo kernel não documentado para implantar uma nova variante de backdoor chamada TONESHELL. Essa atividade foi detectada em meados de 2025, com foco em entidades governamentais na Ásia, especialmente em Myanmar e Tailândia. O driver malicioso, assinado com um certificado digital roubado, atua como um minifiltro, injetando o trojan TONESHELL nos processos do sistema e protegendo arquivos maliciosos e chaves de registro. O TONESHELL possui capacidades de shell reverso e downloader, permitindo que os atacantes baixem malware adicional em máquinas comprometidas. A infraestrutura de comando e controle (C2) foi estabelecida em setembro de 2024, e o ataque pode ter explorado máquinas previamente comprometidas. A detecção do shellcode injetado é crucial para identificar a presença do backdoor. A Kaspersky destacou que a evolução das operações do Mustang Panda mostra um uso crescente de injetores em modo kernel, aumentando a furtividade e a resiliência das suas atividades maliciosas.
Fonte: https://thehackernews.com/2025/12/mustang-panda-uses-signed-kernel-driver.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
30/12/2025 • Risco: ALTO
MALWARE
Grupo de hackers chinês utiliza rootkit para implantar backdoor TONESHELL
RESUMO EXECUTIVO
A utilização de um rootkit para implantar o backdoor TONESHELL representa uma ameaça significativa para a segurança cibernética, especialmente em setores críticos. A capacidade de ocultar atividades maliciosas torna a detecção e mitigação mais desafiadoras, exigindo atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados a violações de dados e interrupções operacionais.
Operacional
Possibilidade de acesso não autorizado a sistemas críticos e roubo de dados sensíveis.
Setores vulneráveis
['Setores governamentais, financeiro e de tecnologia da informação.']
📊 INDICADORES CHAVE
O driver malicioso foi detectado em ataques a entidades tailandesas em setembro de 2025.
Indicador
O certificado digital utilizado foi válido de agosto de 2012 a 2015.
Contexto BR
O malware TONESHELL foi atribuído ao Mustang Panda desde pelo menos o final de 2022.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de segurança e atividades suspeitas em sistemas críticos.
2
Implementar atualizações de segurança e monitorar a integridade dos sistemas.
3
Monitorar continuamente atividades de rede e processos em execução para identificar comportamentos anômalos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das técnicas de ataque, especialmente com o uso de rootkits que dificultam a detecção por ferramentas de segurança.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados e conformidade com a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
