文章总结： 卡巴斯基揭露HoneyMyteAPT组织利用带有被盗签名的恶意驱动程序实施内核攻击。该驱动作为Rootkit通过高优先级机制绕过拦截并注入ToneShell后门。此首次发现的内核加载方式显著提升了攻击的隐蔽性与对抗能力。 综合评分： 85 文章分类： 威胁情报,恶意软件,二进制安全

---

卡巴斯基报告：HoneyMyte APT组织使用内核模式Rootkit

会杀毒的单反狗

军哥网络安全读报

2025年12月31日 09:00 湖北

导读

卡巴斯基报告称，发现一个恶意驱动程序文件。该驱动程序文件使用过期、被盗或泄露的数字证书进行签名，并在受感染的计算机上注册为微型过滤器驱动程序。其最终目的是将后门木马注入系统进程，并为恶意文件、用户模式进程和注册表项提供保护。

分析表明，驱动程序注入的最终有效载荷是 ToneShell 后门程序的新样本，它可以连接到攻击者的服务器并提供反向 shell 以及其他功能。

ToneShell 后门程序是 HoneyMyte（又名 Mustang Panda 或 Bronze President）APT 组织专门使用的工具，常用于针对政府机构的网络间谍活动，尤其是在东南亚和东亚地区。

本次攻击活动中使用的 ToneShell 后门的命令与控制服务器于 2024 年 9 月通过 NameCheap 服务注册，研究人员怀疑攻击本身始于 2025 年 2 月。通过遥测数据观察到，新的 ToneShell 后门经常被用于针对东南亚和东亚目标的网络间谍活动。

值得注意的是，几乎所有受影响的受害者此前都感染过其他 HoneyMyte 工具，包括 ToneDisk USB 蠕虫、PlugX 和旧版本的 ToneShell。虽然最初的入侵途径尚不明确，但据推测，攻击者利用了之前已被入侵的计算机来部署恶意驱动程序。

驱动程序文件由某商业公司颁发的数字证书签名，证书序列号为08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F。该证书有效期为2012年8月至2015年。

研究人员发现多个使用同一证书签名的其他恶意文件，但这些文件与本文所述的攻击并无关联。因此，卡巴斯基认为其他威胁组织也可能使用该证书对其恶意工具进行签名。

受害者机器上驱动程序的文件名是ProjectConfiguration.sys。为该驱动程序服务创建的注册表项也使用了相同的名称，即ProjectConfiguration。

恶意驱动程序包含两个用户模式shellcode，它们嵌入在驱动程序二进制文件的 .data 段中。这两个 shellcode 作为独立的用户模式线程执行。rootkit 功能可以保护驱动程序自身的模块以及注入后门代码的用户模式进程，从而阻止系统上任何进程的访问。

为了保护自身，驱动程序会向过滤器管理器注册，并设置一个预操作回调来检查所有针对自身的操作。如果检测到任何此类操作，它会设置一个标志来拒绝该操作，从而防止安全工具将其移除或隔离。

此外，该驱动程序会构建注册表路径和参数名称列表，然后给自己分配一个高度值，并监视注册表操作以阻止针对其受保护列表中的键的操作。

微软将FSFilter 防病毒加载顺序组的优先级范围设定为320000 至 329999。

该恶意软件选择的优先级超出了此范围。由于优先级较低的过滤器位于 I/O 堆栈的更深层，恶意驱动程序会在合法的低优先级过滤器（例如防病毒组件）之前拦截文件操作，从而绕过安全检查。

该驱动程序使用类似的例程来拦截和阻止针对已注入后门的用户模式进程的操作。但是，它会在后门执行完其活动后移除对进程的保护。

卡巴斯基观察到该后门程序会释放两个用户模式有效载荷。第一个有效载荷会生成一个svchost进程，并向其中注入导致延迟的 shellcode；第二个有效载荷是 ToneShell 后门程序，它会被注入到生成的svchost进程中。

卡巴斯基指出：“这是我们第一次看到 ToneShell 通过内核模式加载器交付，这使其免受用户模式监控，并受益于驱动程序的 rootkit 功能，从而隐藏其活动，使其不被安全工具检测到。”

卡巴斯基高度确信本报告中所述的活动与HoneyMyte威胁组织有关。

这一结论得到了以下证据的支持：攻击者使用了ToneShell后门作为最终阶段的有效载荷，并且在受影响的系统中发现了其他长期与 HoneyMyte 相关的工具，例如PlugX和ToneDisk USB 蠕虫。

HoneyMyte 2025 年的行动表明，其部署 ToneShell 的方式发生了显著变化，开始使用内核模式注入器，从而提高了隐蔽性和防御能力。

在此次行动中，研究人员观察到一种新的 ToneShell 变种，它通过内核模式驱动程序传播，该驱动程序直接从其嵌入式有效载荷中携带并注入后门。

为了进一步隐藏其活动，该驱动程序首先部署了一个小型用户模式组件来处理最终的注入步骤。它还使用了多种混淆技术、回调例程和通知机制来隐藏其 API 使用情况并跟踪进程和注册表活动，最终增强了后门的防御能力。

技术报告：

The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor

新闻链接：

https://www.securityweek.com/chinese-apt-mustang-panda-caught-using-kernel-mode-rootkit/

今日安全资讯速递

APT事件

Advanced Persistent Threat

欧洲航天局已确认发生网络安全事件，影响了有限数量的外部服务器

European Space Agency Confirms Breach of Servers Outside the Corporate Network

HoneyMyte APT 组织通过内核模式 rootkit 和 ToneShell 后门不断演变

The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor

Evasive Panda 网络间谍活动利用 DNS 投毒技术安装 MgBot 后门

Evasive Panda cyberespionage campaign uses DNS poisoning to install MgBot backdoor

银狐黑客利用所得税钓鱼诱饵攻击印度实体

Silver Fox Hackers Attacking Indian Entities with Income Tax Phishing Lures

网络攻击致法国邮政系统瘫痪，邮政和银行服务在法国全国范围内中断

https://www.techrepublic.com/article/news-la-poste-cyberattack/

复杂攻击活动利用武器化的防病毒主题 Word 和 PDF 文档攻击以色列

Israeli Organizations Targeted by AV-Themed Malicious Word and PDF Files

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

Arcane Werewolf黑客组织在其武器库中新增了Loki 2.1恶意软件工具包

Arcane Werewolf Hacker Group Added Loki 2.1 Malware Toolkit to their Arsenal

SideWinder APT黑客组织伪装成印度税务部门攻击印度实体

SideWinder APT Hackers Attacking Indian Entities by Masquerading as the Income Tax Department of India

英国外交部遭受网络攻击

https://www.cybermaterial.com/p/uk-foreign-office-suffers-cyber-attack

一般威胁事件

General Threat Incidents

ESET警告：人工智能驱动的恶意软件攻击和快速增长的勒索软件经济构成威胁

ESET Warns AI-driven Malware Attack and Rapidly Growing Ransomware Economy

Silver Fox 利用以税务为主题的电子邮件攻击印度

https://thehackernews.com/2025/12/silver-fox-targets-indian-users-with.html

黑客伪装成合法的 Jackson JSON 库，入侵了 Maven Central

Hackers Infiltrated Maven Central Masquerading as a Legitimate Jackson JSON Library

大韩航空数据遭Oracle EBS黑客攻击泄露

https://www.securityweek.com/korean-air-data-compromised-in-oracle-ebs-hack/

新的“GhostPairing”技术可实现不被察觉的 WhatsApp 访问

https://www.techrepublic.com/article/news-whatsapp-ghostpairing/

热门写作和编程工具EmEditor主页下载按钮传播恶意软件长达4天

https://www.esecurityplanet.com/threats/emeditor-website-breach-turns-trusted-installer-into-infostealer-malware/

韩国电商Coupang宣布向3370万数据泄露受害者提供11.7亿美元的赔偿计划

Coupang announces $1.17B compensation plan for 33.7M data breach victims

圣诞节期间，Adobe ColdFusion 等软件遭受 250 万次恶意请求攻击

https://www.esecurityplanet.com/threats/2-5m-malicious-requests-hit-adobe-coldfusion-and-others-in-holiday-attack/

利用伪装成Windows激活工具KMSAuto的恶意软件盗窃加密货币

Lithuanian suspect arrested over KMSAuto malware that infected 2.8M systems

黑客宣传称，名为VOIDKILLER的EDR杀手具备内核级终止能力

Hackers Advertised VOID ‘AV Killer’ with Kernel-level Termination Claims

漏洞事件

Vulnerability Incidents

IBM API Connect 存在严重漏洞，攻击者可绕过身份验证

Critical IBM API Connect Flaw Allows Attackers to Bypass Authentication

SmarterMail 存在严重漏洞，攻击者可利用该漏洞执行远程代码

https://thehackernews.com/2025/12/csa-issues-alert-on-critical.html

CISA警告：MongoDB 服务器漏洞 (CVE-2025-14847) 已被攻击者利用

CISA Warns of MongoDB Server Vulnerability(CVE-2025-14847) Exploited in Attacks

XSpeeder 的 SXZOS 固件中存在一个关键的0day漏洞，威胁全球超过7万台设备

https://www.esecurityplanet.com/threats/news-rce-70k-xspeeder-vulnerability/

韩国电信公司femtocell蜂窝基站出现安全漏洞，使客户面临窃听和欺诈风险

https://www.theregister.com/2025/12/30/kt_telecom_femtocell_security_fail/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《卡巴斯基报告：HoneyMyte APT组织使用内核模式Rootkit》