Pesquisadores de cibersegurança identificaram uma nova campanha de espionagem digital atribuída a um grupo ligado ao Estado chinês, na qual é utilizado um rootkit avançado para ocultar a presença do malware ToneShell em sistemas comprometidos. A operação demonstra um alto nível de sofisticação e tem como alvo organizações governamentais e do setor público em países asiáticos, principalmente na região do Sudeste Asiático.
O grupo responsável pela campanha é monitorado como UNC3886, conhecido por seu histórico de ataques direcionados e uso de técnicas avançadas para evadir ferramentas de segurança. Nesta nova onda, os invasores usam um driver de rootkit com assinatura digital legítima para manter o malware ativo sem ser detectado por antivírus ou soluções de monitoramento.
O ToneShell é um tipo de backdoor modular que permite ao atacante manter persistência no sistema, executar comandos remotamente e movimentar-se lateralmente dentro da rede. Ao ser protegido por um rootkit no nível de kernel, o malware consegue se esconder até mesmo de ferramentas forenses, tornando a detecção e remoção extremamente difíceis.
O rootkit utilizado é assinado digitalmente com um certificado válido, o que permite sua execução em versões do Windows que exigem assinatura para carregamento de drivers. Essa tática aumenta a credibilidade do componente malicioso e contorna medidas de segurança integradas ao sistema operacional.
A campanha estaria ativa desde mea2dos de 2023 e evoluiu significativamente até o final de 2025, momento em que os analistas notaram a integração do rootkit para ocultar a atividade do malware. A duração prolongada da operação indica que os atacantes priorizam discrição e acesso prolongado às redes visadas.
