Mustang Panda APT 利用內核模式 Rootkit 部署 ToneShell 後門分析

近期，資安公司 Kaspersky 發現了一個新的攻擊手法，中國駭客組織 Mustang Panda（又稱 Bronze President 或 HoneyMyte）利用內核模式 Rootkit 部署 ToneShell 後門。這個攻擊手法被發現是在 2025 年 2 月開始，主要針對東南亞和東亞政府機關，尤其是泰國和緬甸。

攻擊手法分析

Mustang Panda 使用了一個名為 ProjectConfiguration.sys 的 mini-filter 驅動程式，該驅動程式被簽署 với一個可能外流或遭竊的憑證。這個驅動程式實作了 rootkit 功能，具有強大的自我防護機制，可以保護惡意服務的執行，甚至可以竄改執行的優先層級，阻止關鍵的驅動程式 WdFilter 載入。

駭客使用這個 rootkit 載入 ToneShell，這是一個具有反向 Shell 功能的木馬程式。由於 ToneShell 是透過核心驅動程式載入，並於記憶體內執行，因此不會在儲存裝置留下運作的痕跡。

主要發現

* Mustang Panda 利用內核模式 Rootkit 部署 ToneShell 後門，主要針對東南亞和東亞政府機關。
* 攻擊手法開始於 2025 年 2 月。
* ProjectConfiguration.sys 驅動程式被簽署以一個可能外流或遭竊的憑證。
* ToneShell 是一個具有反向 Shell 功能的木馬程式，可以透過核心驅動程式載入，並於記憶體內執行。

MITRE ATT&CK 對應

* T1190 – 對應的戰術 / 技術名稱：Initial Access
* T1204 – 對應的戰術 / 技術名稱：User Execution

結論

Mustang Panda 的新攻擊手法利用內核模式 Rootkit 部署 ToneShell 後門，這是一個高度複雜和難以檢測的攻擊手法。資安公司和政府機關需要提高警惕，採取有效的防護措施，以防止這種攻擊手法的發生。

參考資料與原文來源

• 🔗 原文來源: Mustang Panda’s updated ToneShell backdoor deployed via kernel-mode rootkit
• 🔗 原文來源: Mustang Panda deploys ToneShell via signed kernel-mode rootkit driver
• 🔗 原文來源: ToneShell – APT Mustang Panda’s new weapon
• 🔗 原文來源: Chinese APT Mustang Panda Caught Using Kernel-Mode Rootkit
• 🔗 原文來源: 中國駭客 Mustang Panda 用核心層級 Rootkit 隱匿後門程式

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。