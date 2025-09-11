Durante el bucle principal, Toneshell9 ejecuta una función para establecer una conexión de socket a su servidor C2. Comienza intentando conectarse a través de la primera estructura SOCKADDR_IN. Si eso falla, el malware intenta establecer una conexión de socket a través de cualquiera de los servidores proxy recopilados del registro. Esto se intenta para cada una de las cadenas de direcciones C2, es decir, la dirección IP y el dominio de la muestra analizada anteriormente.

Tras resolver la dirección IP del servidor proxy y conectarse mediante un socket TCP, primero establece los tiempos de espera de envío y recepción a 1 minuto. A continuación, envía la siguiente solicitud de conexión:

CONNECT <C2 server>:<C2 port> HTTP/1.0

Host: <C2 server>:<C2 port>

Content-Length: 0

Proxy-Connection: Keep-Alive

Pragma: no-cache

Si el servidor proxy devuelve un código de estado 2xx, la conexión se ha establecido con éxito y está lista para el túnel TCP en bruto. Para verificar la conexión con su servidor C2, Toneshell9 utiliza un protocolo de enlace corto, transmitiendo también la IP y el puerto del servidor en el proceso. Si el handshake tiene éxito, el handle del socket se almacena en la struct C2_CONNECTION y los tiempos de espera del socket se fijan en 2 minutos. A continuación, Toneshell envía la primera baliza publicitaria a través del socket.

Espera una respuesta similar de su servidor, que, aparte de los primeros 5 bytes, se cifra a través de la clave XOR transmitida anteriormente:

struct C2_RESPONSE

{

BYTE tls_header[3]; // 17 03 03

WORD payload_size; // big-endian

BYTE command_code;

BYTE shell_id;

BYTE data[];

}

Al utilizar un proxy ya configurado en un dispositivo infectado, Toneshell puede mezclarse eficazmente con otro tráfico de red. Los entornos empresariales más grandes suelen aplicar el filtrado de salida, lo que solo permite el tráfico a través de puertas de enlace de confianza, lo que bloquearía la comunicación C2 directa. La capacidad añadida de Toneshell de eludir este filtrado le permite operar en entornos de red bien protegidos.