文章总结： APT组织HoneyMyte近期利用内核Rootkit深度渗透东南亚政府网络。攻击者使用被盗签名驱动绕过安全检查，篡改Defender并通过内核模式投递ToneShell后门。该手段利用伪造TLS流量通信，隐蔽性极强，建议采用内存取证技术应对传统检测失效的威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,红队,内网渗透,漏洞分析

APT组织HoneyMyte利用Rootkit劫持亚洲多国政府网络

FreeBuf

2026年1月1日 18:31 上海

团臭名昭著的APT组织HoneyMyte（又称Mustang Panda或Bronze President）近期大幅升级攻击手段，通过部署复杂的内核模式Rootkit，深度渗透东南亚和东亚多国政府网络。卡巴斯基实验室最新报告披露，该组织在2025年年中发起的攻击活动展现出危险的技术演进。

Part01

攻击活动与技术特征

研究人员推测此次攻击始于2025年2月，主要针对缅甸和泰国机构。攻击核心是一个名为ProjectConfiguration.sys的恶意驱动文件，攻击者使用合法但疑似被盗的数字证书进行签名以绕过安全检查。

Part02

Rootkit工作机制

该驱动并非被动存在，而是充当恶意软件的”保镖”。报告指出：感染设备上，该驱动文件会注册为迷你过滤驱动，最终目标是将后门木马注入系统进程，并为恶意文件、用户模式进程及注册表键提供保护。通过操纵系统驱动的加载顺序，该恶意软件能有效致盲安全软件，甚至公然篡改Microsoft Defender，包括修改关键驱动WdFilter的高度值，使其无法加载至I/O堆栈。

Part03

载荷投递技术革新

这套复杂机制的终极目标是部署该组织标志性后门ToneShell，但投递方式发生重大变化。卡巴斯基研究人员强调：这是首次发现ToneShell通过内核模式加载器投递，使其免受用户模式监控。新变种采用伪造TLS 1.3标头（如avocadomechanism[.]com域名）与C2服务器通信，将数据窃取伪装成正常网络流量。

Part04

攻击者溯源与战术演进

目标选择和工具使用明确指向ToneShell。研究人员表示：高度确信本报告所述活动与HoneyMyte组织相关。除ToneShell外，攻击还涉及PlugX和ToneDisk USB蠕虫等已知工具。该活动显然旨在维持对高价值情报目标的长期访问，HoneyMyte在2025年的行动显示出向内核模式注入器部署ToneShell的明显演进，同时提升了隐蔽性和持久性。

由于恶意软件完全在内存中执行并隐藏于内核驱动之后，传统检测方法可能失效。安全人员需注意：内存取证已成为发现和分析此类入侵的关键手段。

参考来源：

The Ghost in the Kernel: How HoneyMyte Weaponized a Rootkit to Hijack Asian Governments

The Ghost in the Kernel: How HoneyMyte Weaponized a Rootkit to Hijack Asian Governments

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《APT组织HoneyMyte利用Rootkit劫持亚洲多国政府网络》