En el último trimestre de 2025, investigadores en ciberseguridad han identificado una evolución significativa en las operaciones de HoneyMyte, un grupo avanzado de amenazas persistentes (APT, por sus siglas en inglés) también vinculado a los alias Mustang Panda o Bronze President. Este grupo, asociado históricamente con campañas de ciberespionaje dirigidas a organizaciones gubernamentales en Asia, ha desarrollado e implementado un rootkit en modo kernel para fortalecer la persistencia de sus herramientas maliciosas dentro de sistemas Windows comprometidos.
Un nuevo nivel de sigilo
El elemento central de esta campaña es un controlador malicioso (driver) que opera en el nivel más privilegiado del sistema operativo —el modo kernel— y que ha sido identificado bajo el nombre de archivo ProjectConfiguration.sys. Al ejecutarse con privilegios de kernel, este componente puede manipular directamente el comportamiento del sistema, protegiendo sus propios archivos, procesos inyectados y claves del registro contra intentos de eliminación o análisis por parte de herramientas de seguridad.
El controlador fue hallado firmado digitalmente con un certificado compromsido o filtrado emitido originalmente a una empresa china (Guangzhou Kingteller Technology Co., Ltd.), válido entre 2012 y 2015, lo cual le permite a la pieza maliciosa sortear controles básicos de integridad de Microsoft Windows.
Cómo opera el malware
El análisis técnico indica que este rootkit no solo carga la puerta trasera maliciosa, sino que también implementa una serie de mecanismos para evadir detecciones y neutralizar intervenciones de seguridad:
- Protección del controlador: intercepta solicitudes de operaciones de archivos (como eliminación o renombrado), haciendo que estas acciones fallen de forma que impiden que software de seguridad elimine o modifique su archivo.
- Protección de claves del registro: establece una lista de rutas del registro que debe proteger y bloquea cualquier intento de acceso o modificación no autorizado, dificultando así que herramientas defensivas desactiven el rootkit.
- Protección de procesos de usuario: registra callbacks que evitan que herramientas de seguridad accedan a procesos que el rootkit ha definido como protegidos, negando acceso a estos procesos según su identificador (PID).
Finalmente, el controlador inyecta dos cargas útiles en un proceso del sistema (svchost): una rutina de retraso diseñada para preparar el terreno y, posteriormente, una nueva variante de la puerta trasera ToneShell, que establece una conexión remota con servidores de comando y control para permitir al atacante ejecutar acciones a distancia.
Un objetivo claro: ciberespionaje
Aunque el vector inicial de acceso a las máquinas comprometidas aún no ha sido confirmado, los patrones observados sugieren que muchos de los sistemas afectados ya estaban previamente infectados con otras herramientas del grupo —como el gusano USB ToneDisk, el troyano PlugX o versiones anteriores de ToneShell.
La campaña parece haberse dirigido principalmente a organizaciones gubernamentales en el Sudeste y Este de Asia, con países como Myanmar y Tailandia entre los más impactados. El uso de esta sofisticada técnica de ocultamiento señala un enfoque continuo de espionaje, más que la obtención de beneficios económicos.
Desafíos para la defensa
El uso de un rootkit en modo kernel representa un salto significativo en capacidad de evasión, ya que opera por debajo del nivel en el que muchas soluciones de seguridad tradicionales actúan. Esto plantea importantes retos para equipos de respuesta a incidentes y defensores, que deberán emplear herramientas avanzadas con visibilidad profunda en el sistema y mecanismos específicos para detectar manipulación en el núcleo del sistema operativo.
