Peretas Negara Tiongkok Gunakan Rootkit untuk Menyembunyikan Aktivitas Malware ToneShell

Peneliti keamanan siber mengungkap teknik baru yang digunakan oleh peretas negara asal Tiongkok untuk menyembunyikan aktivitas malware dalam kampanye spionase siber. Varian terbaru backdoor ToneShell kini dikirimkan melalui kernel-mode loader, memungkinkan malware beroperasi dengan tingkat penyamaran yang jauh lebih tinggi saat menyerang organisasi pemerintahan.

Backdoor tersebut dikaitkan dengan kelompok Mustang Panda, yang juga dikenal dengan nama HoneyMyte atau Bronze President. Kelompok ini dikenal luas karena menargetkan lembaga pemerintah, organisasi non-pemerintah, lembaga riset, dan institusi strategis lainnya di berbagai negara.

Analisis yang dilakukan oleh peneliti Kaspersky menemukan sebuah driver berbahaya pada sistem komputer di kawasan Asia. Driver ini diketahui telah digunakan setidaknya sejak Februari 2025 dalam serangan terhadap organisasi pemerintah di Myanmar, Thailand, dan sejumlah negara Asia lainnya. Bukti forensik menunjukkan bahwa sistem yang terinfeksi sebelumnya juga pernah disusupi varian lama ToneShell, malware PlugX, atau worm USB ToneDisk, yang semuanya dikaitkan dengan aktor ancaman yang sama.

Rootkit Mode Kernel untuk Tingkat Stealth Lebih Tinggi

Varian terbaru ToneShell disebarkan melalui driver mini-filter bernama ProjectConfiguration.sys. Driver ini ditandatangani menggunakan sertifikat yang diduga dicuri atau bocor, dengan masa berlaku antara 2012 hingga 2015 dan diterbitkan atas nama perusahaan teknologi asal Guangzhou.

Mini-filter merupakan driver mode kernel yang terintegrasi langsung dengan sistem I/O file Windows. Komponen ini umumnya digunakan oleh perangkat lunak keamanan, enkripsi, dan pencadangan data. Dalam kasus ini, ProjectConfiguration.sys memanfaatkan posisi strategis tersebut untuk memantau dan memanipulasi operasi sistem file.

Driver tersebut menyematkan dua shellcode mode pengguna yang dieksekusi sebagai thread terpisah dan disuntikkan ke proses lain. Untuk menghindari analisis statis, driver tidak memanggil API kernel secara langsung, melainkan mencarinya secara dinamis dengan mencocokkan hash fungsi dari modul kernel yang telah dimuat.

Selain itu, rootkit ini mencegah penghapusan atau penggantian nama file miliknya sendiri dengan memaksa operasi tersebut gagal. Perlindungan juga diterapkan pada kunci registri terkait layanan, sehingga upaya akses atau modifikasi akan ditolak. Untuk memastikan prioritas di atas perangkat lunak keamanan, driver memilih altitude mini-filter yang lebih tinggi dari rentang yang dicadangkan untuk antivirus.

Rootkit ini bahkan mengganggu Microsoft Defender dengan memodifikasi konfigurasi driver WdFilter agar tidak dimuat ke dalam I/O stack. Selama payload mode pengguna dijalankan, driver juga membatasi akses ke proses tertentu dan mencabut perlindungan setelah eksekusi selesai.

Menurut Kaspersky, ini merupakan pertama kalinya ToneShell dikirimkan melalui loader mode kernel, memberikan perlindungan dari pemantauan mode pengguna sekaligus memanfaatkan kemampuan rootkit untuk menyembunyikan aktivitas dari alat keamanan.

Varian ToneShell dengan Fitur Siluman Baru

Varian ToneShell terbaru juga membawa perubahan signifikan pada mekanisme identifikasi dan komunikasi. Malware kini menggunakan skema identifikasi host berbasis ID 4 byte, menggantikan GUID 16 byte yang digunakan sebelumnya. Lalu lintas jaringan juga disamarkan menggunakan header TLS palsu untuk menghindari deteksi.

Backdoor ini mendukung berbagai perintah jarak jauh, termasuk pengunduhan dan pengunggahan file, pembukaan remote shell, penerimaan perintah operator, hingga penutupan koneksi. Kemampuan ini menjadikannya alat spionase yang fleksibel dan sulit dilacak.

Kaspersky menekankan bahwa memory forensics menjadi kunci utama dalam mendeteksi infeksi ToneShell yang didukung injector mode kernel ini. Peneliti menyatakan keyakinan tinggi bahwa sampel malware tersebut berasal dari kelompok Mustang Panda, yang dinilai terus mengembangkan taktik dan tekniknya demi meningkatkan ketahanan dan kerahasiaan operasi.

Sebagai langkah mitigasi, Kaspersky menyediakan daftar indikator kompromi untuk membantu organisasi mendeteksi intrusi dan memperkuat pertahanan terhadap kampanye spionase siber yang semakin canggih.