# TONESHELL > Tipo: **backdoor** · S1239 · [MITRE ATT&CK](https://attack.mitre.org/software/S1239) > [!info] Resumo Operacional > Backdoor personalizado do Mustang Panda (Earth Preta) ativo desde Q1 2021. Protocolo C2 FakeTLS com XOR encoding (magic bytes 17 03 03). Entregue via DLL sideloading usando componentes Chrome legitimos. Em 2025, nova variante (Toneshell9) introduz rootkit kernel-mode com certificado digital roubado. Multiplas variantes documentadas com atualizacoes ativas e crescente sofisticacao. ## Visão Geral [[s1239-toneshell|TONESHELL]] e um backdoor personalizado desenvolvido e utilizado exclusivamente pelo grupo [[g0129-mustang-panda|Mustang Panda]] (também rastreado como [[earth-preta|Earth Preta]] e Bronze President), um grupo de ameaça persistente avancada com atribuicao ao estado chines. Identificado pela primeira vez em Q1 2021, o [[s1239-toneshell|TONESHELL]] se tornou a ferramenta de acesso persistente central do grupo, substituindo e complementando ferramentas mais antigas como o PlugX. Ao longo de 2021-2025, o malware evoluiu através de múltiplas variantes - com a versao Toneshell9, documentada em julho de 2025, representando um salto significativo em sofisticacao com introdução de rootkit kernel-mode. A caracteristica técnica mais distintiva do [[s1239-toneshell|TONESHELL]] e o protocolo de comunicação C2 "FakeTLS": o malware usa magic bytes `17 03 03` (header de TLS Application Data) para mascarar suas comúnicacoes como trafego TLS legitimo, mas o conteudo real e XOR-encoded com uma chave fixa ([[t1132-002-non-standard-encoding|T1132.002]]). Esta técnica e eficaz contra soluções de inspecao de trafego que confiam em indicadores superficiais de criptografia. O [[s1239-toneshell|TONESHELL]] e entregue tipicamente via DLL sideloading ([[t1574-001-dll|T1574.001]]) - o atacante planta um DLL malicioso em um diretorio onde um executavel legitimo (frequentemente componentes do Chrome como `elevation_service.exe`) o carregara automaticamente, explorando a ordem de busca de DLLs do Windows. Em 2025, pesquisadores da Trend Micro e ThreatFabric documentaram o Toneshell9 - uma variante que inclui um rootkit kernel-mode. Este rootkit e assinado digitalmente com certificados roubados de empresas legitimas, permitindo que o driver sejá carregado no kernel do Windows sem acionar o Secure Boot. O rootkit atua para ocultar processos, arquivos e conexoes de rede do [[s1239-toneshell|TONESHELL]], tornando a detecção forense extremamente desafiadora. Esta evolução posiciona o [[s1239-toneshell|TONESHELL]] entre os backdoors mais sofisticados em uso por atores estatais. **Plataformas:** Windows ## Como Funciona O deploy do [[s1239-toneshell|TONESHELL]] tipicamente e feito via campanha de spear-phishing do [[g0129-mustang-panda|Mustang Panda]] com documentos ou arquivos comprimidos maliciosos. O dropper TONEDROP instala os componentes de sideloading: um executavel legitimo (Chrome, software antivirus) e um DLL malicioso com o mesmo nome do DLL legitimo esperado. Quando o executavel legitimo carrega o DLL malicioso, o [[s1239-toneshell|TONESHELL]] e instalado, estabelece persistência via tarefa agendada ([[t1053-005-scheduled-task|T1053.005]]) e inicia comunicação FakeTLS com o servidor C2 do [[g0129-mustang-panda|Mustang Panda]]. O backdoor executa verificacoes ambientais extensas: detecta produtos de segurança ([[t1518-001-security-software-discovery|T1518.001]]), verifica atividade do usuario ([[t1497-002-user-activity-based-checks|T1497.002]]), implementa delays de execução ([[t1678-delay-execution|T1678]]) e usa environmental keying ([[t1480-001-environmental-keying|T1480.001]]) para ativar apenas em ambientes que correspondem ao perfil esperado do alvo. ## Attack Flow ```mermaid graph TB A["Spear-Phishing<br/>Email com arquivo RAR/ZIP<br/>Tema diplomatico ou governamental"] --> B["TONEDROP<br/>Dropper instala componentes<br/>DLL + executavel legitimo Chrome"] B --> C["DLL Sideloading<br/>Chrome carrega DLL malicioso<br/>T1574.001 - sem alerta AV"] C --> D["Verificacoes Ambiente<br/>AV instalado, atividade usuario<br/>Environmental keying + delay"] D --> E["Persistência<br/>Tarefa agendada<br/>Reinicializacao segura"] E --> F["FakeTLS C2<br/>Magic bytes TLS 17 03 03<br/>Payload XOR-encoded"] F --> G["Reconhecimento<br/>Processos, screenshots<br/>Local storage discovery"] G --> H["Rootkit Kernel (2025)<br/>Driver assinado com cert roubado<br/>Oculta processo e conexoes"] style A fill:#1a1a2e,color:#e0e0e0 style B fill:#16213e,color:#e0e0e0 style C fill:#0f3460,color:#e0e0e0 style D fill:#0f3460,color:#e0e0e0 style E fill:#533483,color:#e0e0e0 style F fill:#533483,color:#e0e0e0 style G fill:#e94560,color:#ffffff style H fill:#c62a2a,color:#ffffff ``` ## Timeline ```mermaid timeline title TONESHELL - Evolução por Variante 2021-Q1 : TONESHELL v1 identificado : DLL sideloading + FakeTLS C2 : Earth Preta campanhas diplomaticas 2022 : Variante com proxy local configuravel : Campanhas contra governo Myanmar e ASEAN 2023 : TONESHELL v2 - XOR key rotation : Campanhas contra governo Taiwan : Trend Micro documenta familia completa 2024 : Variantes com anti-analysis aprimorado : User activity-based checks adicionados : Campanhas contra Europa governamental 2025-07 : Toneshell9 descoberto : Rootkit kernel-mode com cert roubado : Sofisticacao nivel APT avancado ``` ## Técnicas Utilizadas - [[t1574-001-dll|T1574.001 - DLL Search Order Hijacking]] - DLL sideloading via Chrome - [[t1480-001-environmental-keying|T1480.001 - Environmental Keying]] - ativacao apenas em ambiente alvo - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - guardrails de execução - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name]] - DLL com nome de componente legitimo - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - detecta produtos de segurança - [[t1497-002-user-activity-based-checks|T1497.002 - User Activity Based Checks]] - verifica uso ativo do sistema - [[t1678-delay-execution|T1678 - Delay Execution]] - delay para evasão de sandbox - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - XOR encoding no C2 FakeTLS - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - persistência via tarefa agendada - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - perfil do sistema - [[t1057-process-discovery|T1057 - Process Discovery]] - listagem de processos - [[t1113-screen-capture|T1113 - Screen Capture]] - captura de tela periodica - [[t1047-windows-management-instrumentation|T1047 - WMI]] - consultas WMI - [[t1027-007-dynamic-api-resolution|T1027.007 - Dynamic API Resolution]] - resolução dinâmica de APIs - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - exploração de armazenamento local ## Grupos que Usam - [[g0129-mustang-panda|Mustang Panda]] (Bronze President, Earth Preta) - grupo APT chines, espionagem politica e diplomatica ## Relevância LATAM/Brasil O [[s1239-toneshell|TONESHELL]] tem relevância específica para o Brasil no contexto de espionagem diplomatica e governamental. O [[g0129-mustang-panda|Mustang Panda]] tem historico de alvos em governos de paises com interesses diplomaticos relevantes para a China, e o Brasil - como maior economia da América Latina com relacoes diplomaticas ativas com Pequim - e um alvo potencial para espionagem. Embora a maioria das campanhas documentadas foque em paises do Sudeste Asiatico e Europa, a presenca de representantes diplomaticos brasileiros em regiao de alta atividade do grupo cria vetor de risco. O mecanismo de FakeTLS e particularmente preocupante para defesas brasileiras: muitas organizacoes do setor público dependem de inspeccao de trafego baseada em TLS para detecção de ameaças, e o [[s1239-toneshell|TONESHELL]] foi projetado específicamente para evadir este controle. A introdução do rootkit kernel-mode em 2025 eleva significativamente o nivel de ameaça para organizacoes que poderiam ser alvos do [[g0129-mustang-panda|Mustang Panda]]. ## Detecção - Detectar carregamento de DLLs com nomes de componentes Chrome (elevation_service.dll, chrome_elf.dll) de diretorios nao-padrao - Monitorar execução de executaveis Chrome em diretorios fora de `Program Files\Google` - Alertar para conexoes TCP na porta 443 com magic bytes `17 03 03` mas sem certificados TLS válidos (inspecao SSL) - Detectar carregamento de drivers Windows com certificados de empresas incomuns ou revogados - Monitorar criação de tarefas agendadas por processos filhos de executaveis Chrome/Chromium - Implementar regras YARA para a assinatura FakeTLS do TONESHELL (magic bytes + XOR pattern) ```sigma title: TONESHELL FakeTLS C2 Connection Pattern status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationPort: 443 Image|contains: - '\elevation_service.exe' - '\chrome\application\chrome.exe' filter_chrome: DestinationHostname|endswith: - '.google.com' - '.googleapis.com' - '.gstatic.com' condition: selection and not filter_chrome falsepositives: - Chrome updating or checking certificates level: medium tags: - attack.command-and-control - attack.t1132.002 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1239) MITRE ATT&CK - S1239 TONESHELL (2024) - [2](https://www.trendmicro.com/en_us/research/23/c/earth-preta-updated-stealthy-strategies.html) Trend Micro - Earth Preta Updated Stealthy Strategies (2023) - [3](https://www.trendmicro.com/en_us/research/24/d/earth-preta-campaign-targets-asia.html) Trend Micro - Earth Preta Campaign Targets Asia (2024) - [4](https://unit42.paloaltonetworks.com/mustang-panda-updated-toolset/) Unit 42 - Mustang Panda Updated Toolset (2023) - [5](https://www.welivesecurity.com/en/eset-research/mustang-panda-compromises-telecommunications/) ESET - Mustang Panda Compromises Telecommúnications (2024)