ToneShell itu sebenarnya adalah sebuah program jahat atau malware jenis backdoor yang cukup berbahaya karena sifatnya yang sangat tertutup. Program jahat ini biasanya digunakan oleh kelompok peretas untuk menyusup ke sistem organisasi besar, kayak instansi pemerintah, guna mencuri data atau memata-matai aktivitas di dalam jaringan tersebut tanpa terdeteksi sama sekali.
Belakangan ini, ada temuan baru soal varian ToneShell yang makin canggih. Malware ini sering banget dikaitkan sama kelompok peretas bernama Mustang Panda, yang juga dikenal dengan nama HoneyMyte atau Bronze President. Mereka ini biasanya mengincar badan pemerintah, LSM, hingga lembaga pemikir di seluruh dunia. Kayaknya, serangan terbaru mereka di awal tahun 2025 ini mulai menyasar organisasi pemerintah di kawasan Asia, seperti Myanmar dan Thailand. Yang bikin ngeri, varian baru ini dikirim lewat loader mode kernel, yang artinya dia beroperasi di level terdalam sistem operasi kalian, sehingga susah banget dideteksi sama antivirus biasa.
Varian terbaru ini menggunakan driver mini-filter bernama ProjectConfiguration.sys. Driver ini ternyata pakai sertifikat digital yang dicuri dari perusahaan teknologi di Tiongkok buat nipu sistem keamanan Windows. Sebegitu niatnya mereka, sampai-sampai backdoor ini bisa memanipulasi cara Windows menangani file. Buat kalian yang pengen tahu lebih detail gimana cara kerja teknisnya, kira-kiranya begini langkah-langkah yang dilakukan sama malware ini:
- Pemuatan Shellcode ke Memori: Driver ProjectConfiguration.sys ini menyimpan dua kode perintah (shellcode) di dalam bagian datanya. Begitu driver jalan, kode ini bakal disuntikkan ke proses yang lagi berjalan di komputer kalian sebagai thread terpisah.
- Penyembunyian Jejak API: Biar nggak ketahuan saat dianalisis, driver ini nggak langsung manggil fungsi Windows secara terang-terangan. Dia bakal nyari fungsi yang dibutuhin lewat teknik hashing saat sistem lagi jalan. Rasanya emang dibuat serumit mungkin biar analis keamanan pusing.
- Memblokir Penghapusan File: Karena dia terdaftar sebagai mini-filter driver, dia punya kuasa buat ngintip perintah hapus atau ganti nama file. Kalau ada perintah buat ngehapus dirinya sendiri, driver ini bakal langsung nolak perintah itu. Jadi, file jahatnya nggak bakal bisa dihapus gitu aja.
- Melindungi Kunci Registry: Malware ini juga ngedaftarin callback khusus buat jagain kunci registri miliknya. Kalau ada aplikasi lain yang mau buka atau ubah settingan dia, aksesnya bakal langsung ditolak mentah-mentah.
- Menonaktifkan Microsoft Defender: Ini yang paling nakal. Rootkit ini bakal ngerubah konfigurasi driver WdFilter milik Microsoft Defender supaya nggak dimuat ke dalam sistem. Alhasil, benteng pertahanan utama komputer kalian jadi lumpuh total.
- Komunikasi Jarak Jauh: Setelah sistem berhasil dikuasai, peretas bisa ngirim perintah lewat kode-kode tertentu. Beberapa perintah yang didukung kayaknya meliputi:
- 0x1: Buat file sementara buat nampung data masuk.
- 0x2 / 0x3: Ngunduh file dari komputer korban.
- 0x7: Buka jalur komunikasi jarak jauh (remote shell).
- 0xA / 0xB: Unggah file ke komputer korban.
- 0xD: Mutusin koneksi kalau udah selesai.
Sepertinya perkembangan taktik dari Mustang Panda ini menunjukkan kalau ancaman siber itu nggak pernah diam di tempat. Mereka terus berevolusi jadi lebih licin dan makin susah buat dilacak. Buat kalian yang mengelola sistem di organisasi penting, rasanya melakukan audit forensik pada memori komputer itu udah jadi harga mati, soalnya backdoor kayak ToneShell ini pinter banget sembunyi dari pemantauan biasa. Jangan sampai kita baru sadar pas data-data penting sudah melayang ke tangan yang salah. Tetap waspada dan pastikan sistem keamanan kalian selalu diperbarui supaya nggak gampang ditembus sama teknik-teknik canggih kayak begitunya. Terimakasih sudah menyimak ulasan teknis ini sampai habis ya, rekan-rekanita.