ToneShell の最新亜種を検知:Scheduler COM を悪用する Mustang Panda グループの戦略とは?

New ToneShell Variant Uses Task Scheduler COM Service to Maintain Persistence

2025/09/12 gbhackers — ToneShell の最新の亜種は、Windows Task Scheduler COM サービスを悪用する戦術により、永続化における顕著な進化を示している。これまでは、この軽量バックドアは、DLL サイド・ローディング手法で配信されていたが、新たな機能として高度な永続化メカニズムと解析回避を搭載しており、セキュリティ・チームにとって大きな課題が生じている。Intezer のサイバー・セキュリティ研究者たちが確認した、ToneShell バックドアの新亜種は、中国拠点の Mustang Panda グループにおける攻撃手段の進化を示すものである。

従来からの永続化の手法とは異なり、この亜種は “dokanctl” というスケジュール・タスクを作成し、ユーザーの AppData ディレクトリ内に生成されるランダムな名称のフォルダから、1分ごとにペイロードを実行する。

バックドアのインストールプロセスは、Google Drive の同期パスから状況をチェックする、包括的な検証ルーチンから始まる。これは、脅威アクター自身の誤感染を防ぐための対策だと考えられる。

このチェックを通過すると、マルウェアはミューテックス (mutex) “Global\SingleCorporation12AD8B” を使用して、シングル・インスタンス実行を確認した上で、インストール・シーケンスへと進む。

そして、一連の動作条件を満たすと、このバックドアは自身およびサポート DLL (msvcr100.dll/msvcp100.dll/mfc100.dll) を、6文字の大文字ランダム名を持つ新規ディレクトリにコピーする。

Code reuse with Toneshell.
Code reuse with Toneshell.

続いて、Task Scheduler COMサービスとの統合により、永続的な実行メカニズムが作成され、”%APPDATA%<random-6-chars>\svchosts.exe” の1分間隔での実行が設定される。

高度な分析対策

最新の ToneShell 亜種は、検出回避の能力を大幅に強化するために、多層的な分析対策とサンドボックス回避機能を実装している。

このマルウェアは、100ミリ秒の遅延を伴うループで、テンポラリ・ファイルの作成/書込/削除を繰り返すことで、解析環境に負荷を与え、実行時間を浪費させる。

また、ランダム化されたスリープ・ループを利用し、それぞれの反復ごとに 800ミリ秒から 1,000 ミリ秒超の遅延を発生させ、最終的に 20 秒以上の起動遅延を蓄積する。

さらに GetTickCount64() とジッター・スリープを併用し、少なくとも 10秒間の実時間が経過するまで待機させることで、クロック制御機能を持たないエミュレータを停止させる仕組みを備えている。

File creation loops.
File creation loops.

新たに注目すべきは、この亜種は OpenAI の画像生成に関するブログや、Pega AI の Web サイトからコピーした無意味なテキストを、長大な埋め込み文字列として保持することだ。

それによりバイナリ・サイズを膨張させ、難読化された文字列比較を通じて、処理サイクルを消費させるが、実質的な悪意の機能は持っていない。

また、このマルウェアは TLS に類似したプロトコル・ラッパーを用いて、正規の通信に偽装しながら “146.70.29[.]229:443” の C2 サーバと接続する。

それぞれのパケットは “17 03 03” で始まり、その後に 2-Byte の長さフィールドが付与される。ただし下位バイトのみが利用されるため、ペイロードは 255-Byte に制限される。

通信プロトコルは 256-Byte のローリング・キーによる XOR エンコードを採用しており、TLS に似たヘッダーが削除された後のペイロードは、type/status field/additional code byte/message body で構成される。

この設計は、従来からの ToneShell 通信フレームワークを維持しながら、機能を強化したものである。

さらに、このマルウェアは GUID 生成を通じて固有のマシン識別子を生成し、”C:\ProgramData\SystemRuntimeLag.inc” に保存された識別子の読取を試行する。また、必要に応じて CoCreateGuid や線形合同法に基づくジェネレータで代替生成を行う。

この ToneShell 亜種を利用する Mustang Panda が、ミャンマーを継続的に標的にしていることが示すのは、中国の地政学的な利益である。

配布手口としては、ビルマ語で “TNLA နှင့် အခြားတော်လှန်ရေးအင်အားစုမျာ” (TNLA およびその他の革命勢力) と名付けられたアーカイブが利用されており、同地域の政治/安全保障の情勢に対する継続的な関心を反映している。

この執拗な標的攻撃が示すのは、国境警備/インフラ開発/政治監視などの戦略的に重要な分野で、影響力を維持する手段として、サイバー作戦が機能していることだ。

緩和策

セキュリティ・チームにとって必要なことは、この亜種特有の永続化メカニズムを重点的に監視することだ。特に、”dokanctl” という名のタスク作成や、6文字ランダム名を持つ AppData ディレクトリ内での不審な挙動に注目すべきである。

また、ミューテックス “Global\SingleCorporation12AD8B” と C2 通信は、新たな検知の機会を提供する要素である。

ToneShell というバックドアの、新たな亜種が検出されたとのことです。このマルウェアは、従来からの DLL サイドローディングに加え、Windows の Task Scheduler COM サービスを利用して永続化する仕組みを持ち、より強力になっているのが特徴です。さらに、実行環境のチェックや無意味な文字列の埋め込みなど、多層的な解析回避機能を備えることで、検知や調査を困難にしているようです。よろしければ、Mustang Panda で検索も、ご参照ください。