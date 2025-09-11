Durante o loop principal, o Toneshell9 executa uma função para estabelecer uma conexão de socket com seu servidor C2. Ele começa com uma tentativa de conexão por meio da primeira estrutura SOCKADDR_IN. Caso isso falhe, o malware tenta estabelecer uma conexão de socket através de qualquer um dos servidores proxy coletados do registro. A tentativa é feita para cada uma das strings de endereço C2, ou seja, o endereço IP e o domínio da amostra analisada acima.

Após resolver o endereço IP do servidor proxy e conectar-se por meio de um socket TCP, ele primeiro define os tempos limite de envio e recebimento para 1 minuto. Em seguida, envia a seguinte solicitação de conexão:

CONNECT <C2 server>:<C2 port> HTTP/1.0

Host: <C2 server>:<C2 port>

Content-Length: 0

Proxy-Connection: Keep-Alive

Pragma: no-cache

Se o servidor proxy retornar um código de status 2xx, a conexão foi estabelecida com sucesso e está pronta para o tunelamento TCP bruto. Para verificar a conexão com seu servidor C2, a Toneshell9 utiliza um protocolo de handshake curto, transmitindo também o IP e a porta do servidor no processo. Se o handshake for bem-sucedido, o identificador do socket é armazenado na estrutura C2_CONNECTION e os tempos limite do socket são definidos para 2 minutos. Em seguida, o Toneshell envia o primeiro beacon de anúncio pelo socket.

O sistema espera uma resposta semelhante do servidor, que, com exceção dos primeiros 5 bytes, está criptografada com a chave XOR transmitida anteriormente:

struct C2_RESPONSE

{

BYTE tls_header[3]; // 17 03 03

WORD payload_size; // big-endian

BYTE command_code;

BYTE shell_id;

BYTE data[];

}

Usando um proxy já configurado em um dispositivo infectado, o Toneshell pode se misturar efetivamente a outros tráfegos de rede. Ambientes empresariais maiores frequentemente impõem filtragem de saída, permitindo apenas o tráfego através de gateways confiáveis, o que bloquearia a comunicação direta com C2. O recurso adicional do Toneshell de contornar essa filtragem permite que ele opere em ambientes de rede bem protegidos.