攻击活动与技术特征

研究人员推测此次攻击始于2025年2月，主要针对缅甸和泰国机构。攻击核心是一个名为ProjectConfiguration.sys的恶意驱动文件，攻击者使用合法但疑似被盗的数字证书进行签名以绕过安全检查。

Part02

Rootkit工作机制

该驱动并非被动存在，而是充当恶意软件的"保镖"。报告指出：感染设备上，该驱动文件会注册为迷你过滤驱动，最终目标是将后门木马注入系统进程，并为恶意文件、用户模式进程及注册表键提供保护。通过操纵系统驱动的加载顺序，该恶意软件能有效致盲安全软件，甚至公然篡改Microsoft Defender，包括修改关键驱动WdFilter的高度值，使其无法加载至I/O堆栈。

Part03

载荷投递技术革新

这套复杂机制的终极目标是部署该组织标志性后门ToneShell，但投递方式发生重大变化。卡巴斯基研究人员强调：这是首次发现ToneShell通过内核模式加载器投递，使其免受用户模式监控。新变种采用伪造TLS 1.3标头（如avocadomechanism[.]com域名）与C2服务器通信，将数据窃取伪装成正常网络流量。

Part04

攻击者溯源与战术演进

目标选择和工具使用明确指向ToneShell。研究人员表示：高度确信本报告所述活动与HoneyMyte组织相关。除ToneShell外，攻击还涉及PlugX和ToneDisk USB蠕虫等已知工具。该活动显然旨在维持对高价值情报目标的长期访问，HoneyMyte在2025年的行动显示出向内核模式注入器部署ToneShell的明显演进，同时提升了隐蔽性和持久性。

由于恶意软件完全在内存中执行并隐藏于内核驱动之后，传统检测方法可能失效。安全人员需注意：内存取证已成为发现和分析此类入侵的关键手段。

参考来源：

The Ghost in the Kernel: How HoneyMyte Weaponized a Rootkit to Hijack Asian Governments

https://securityonline.info/the-ghost-in-the-kernel-how-honeymyte-weaponized-a-rootkit-to-hijack-asian-governments/

文章来源：FreeBuf