Skip to content
Tutorial emka
Menu
  • Home
  • Debian Linux
  • Ubuntu Linux
  • Red Hat Linux
Menu

Mengenal Apa itu TONESHELL: Backdoor Berbahaya dari Kelompok Mustang Panda

Posted on January 24, 2026

TONESHELL adalah sebuah varian malware berjenis backdoor atau pintu belakang digital yang dikembangkan oleh kelompok peretas Mustang Panda asal Tiongkok. Secara mendasar, program jahat ini dirancang buat menyusup ke dalam sistem target, mencuri data sensitif, dan memberikan kendali penuh kepada peretas dari jarak jauh tanpa terdeteksi oleh sistem keamanan standar.

Kalian mungkin bertanya-tanya, kenapa sih serangan Mustang Panda di tahun 2025 ini jadi sebegitu hebohnya? Masalah utamanya adalah penggunaan kernel-mode rootkit driver yang sebelumnya nggak pernah terdokumentasi. Teknik ini bikin malware-nya bisa bergerak di level paling dalam dari sistem operasi, alias di area kernel, sehingga antivirus biasa bakal susah banget buat menemukannya. Serangan ini terpantau banyak menyasar lembaga pemerintahan di Asia Tenggara, kayak Myanmar dan Thailand.

Kalau kita bedah secara teknis, cara kerja serangan ini cukup rumit dan rapi. Berikut adalah langkah-langkah yang dilakukan oleh malware ini buat menginfeksi sistem kalian:

  1. Pemanfaatan Sertifikat Digital Curian
    Awalnya, peretas menggunakan file driver bernama “ProjectConfiguration.sys”. Biar dianggap aman oleh Windows, mereka membungkus file ini dengan sertifikat digital milik Guangzhou Kingteller Technology Co., Ltd. Kayaknya sertifikat ini hasil curian atau kebocoran data lama, soalnya aslinya cuma valid sampai tahun 2015. Tapi ya begitunya, sistem kadang masih bisa dikelabui.
  2. Registrasi sebagai Minifilter Driver
    Setelah masuk, si driver ini mendaftarkan dirinya sebagai minifilter driver. Ini adalah posisi yang strategis banget karena dia bisa memantau semua aktivitas file yang keluar-masuk di sistem operasi kalian.
  3. Melumpuhkan Microsoft Defender
    Ini bagian yang cukup gila. Malware ini sengaja mencari driver antivirus bawaan Windows, yaitu WdFilter.sys. Dia mengubah nilai “altitude” atau kasta posisi driver tersebut menjadi nol. Dengan begitunya, Microsoft Defender jadi nggak berkutik karena posisi si malware di tumpukan sistem (I/O stack) jadi lebih tinggi dan bisa mencegat data sebelum sampai ke antivirus.
  4. Melindungi Diri Sendiri
    Si rootkit ini punya fitur buat memonitor kalau-kalau ada orang atau sistem yang mau menghapus atau mengganti nama filenya. Kalau ada upaya penghapusan, dia otomatis bakal menolak akses tersebut. Rasanya kayak punya pengawal pribadi yang nggak mempan disuap.
  5. Injeksi Backdoor TONESHELL
    Tujuan akhirnya adalah menyuntikkan (inject) shellcode ke dalam proses “svchost.exe”. Di sinilah TONESHELL benar-benar aktif. Karena dia berjalan di dalam proses sistem yang sah, deteksinya jadi makin sulit kalau cuma mengandalkan scan file biasa.

Setelah TONESHELL berhasil aktif dan bersembunyi dengan aman, dia bakal langsung menghubungi server Command-and-Control (C2) milik peretas. Dari sana, peretas bisa mengirimkan berbagai perintah lewat port 443, mulai dari bikin file sementara, mengunduh malware tambahan, sampai menjalankan remote shell buat eksekusi perintah secara langsung di komputer korban. Kemampuan TONESHELL buat “ngumpet” di dalam memori tanpa meninggalkan jejak di harddisk (fileless) bikin tim IT harus kerja ekstra keras buat melakukan investigasi forensik memori.

Melihat perkembangan Mustang Panda yang makin canggih ini, kita nggak boleh cuek sama keamanan siber. Penggunaan kernel-mode injector menunjukkan kalau mereka terus berevolusi biar makin sulit dilacak. Sangat disarankan buat kalian, terutama yang mengelola server di instansi penting, buat lebih rajin melakukan pemantauan memori dan nggak gampang colok USB sembarangan, soalnya mereka juga pakai worm USB kayak TONEDISK buat penyebaran. Proteksi di level kernel itu krusial, jadi pastikan kebijakan driver signing di sistem kalian bener-bener ketat biar nggak ada driver “siluman” yang bisa masuk segitunya. Tetap waspada ya, rekan-rekanita.

Recent Posts

  • Deploy Nginx Rootful Container with Podman
  • How to Sandboxing Browser on Linux Desktop with Flatpak
  • How to Hardening Journald on Linux Server (Fedora/AlmaLinux)
  • Block Bad USB on Linux Server with USBGuard
  • How to Secure NetworkManager on Fedora/AlmaLinux
  • How to Secure DNS and NTP in Fedora Linux
  • How to Hardening DNF on Fedora/Almalinux
  • How to Masking & Secure Daemon in Linux Server
  • How to Hardening Mount Option in Linux Server
  • How to Secure Linux Server with AIDE
  • Auditd Custom Rules & Tips
  • Securing SSH Server with fail2ban
  • Fedora Linux Firewalld Drop Zone and Rich Rules
  • How to SSH Hardening 2026
  • How to Add Password Protection to GRUB
  • Linux Kernel Hardening: Command-line Lockdown
  • Make Linux Kernel More Safe and Hardening with Sysctl Easy Way
  • How to Lockdown Root & Wheel Group in Linux
  • How to Secure Sudo in Linux (Secure Sudo Logging & Timeout)
  • Make Fedora Login Safe with Authselect and Faillock
  • How Measure Linux Security Use OpenSCAP Lynis and Systemd
  • SELinux Make Nginx Break and How to Fix It Easy
  • How See Hidden SELinux Errors When Your Server Is Broken
  • How Fix SELinux Port Denied Error With Sealert Easy Guide
  • Read SELinux AVC Denial Log Simple Guide for Noob
  • Inilah Cara Mengatasi OneDrive yang Suka Mengubah atau Menghapus Metadata File Kalian
  • Inilah Cara Menonaktifkan Antivirus Pihak Ketiga di Windows 11 dengan Aman
  • Inilah Cara Mengatur Raspberry Pi 5 dengan Ubuntu Server untuk Python dan Desktop GUI Tanpa Ribet
  • Inilah Alasan Kenapa Galaxy Z Fold 8 Ultra Bisa Jadi Produk yang Mengecewakan
  • Inilah Alasan Intel Merilis Raptor Lake Next di Socket LGA 1700, Masih Setia dengan DDR4!
  • How to Automate Your Entire SEO Strategy Using a Swarm of 100 Free AI Agents Working in Parallel
  • How to create professional presentations easily using NotebookLM’s AI power for school projects and beyond
  • How to Master SEO Automation with Google Gemini 3.1 Flash-Lite in Google AI Studio
  • How to create viral AI video ads and complete brand assets using the Claude and Higgsfield MCP integration
  • How to Transform Your Mac Into a Supercharged AI Assistant with Perplexity Personal Computer
RSS Error: WP HTTP Error: A valid URL was not provided.
©2026 Tutorial emka | Design: Newspaperly WordPress Theme