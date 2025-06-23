العلامات
يحوِّل برنامج Hive0154 المعروف أيضًا باسم Mustang Panda تركيزه نحو المجتمع التبتي لنشر الباب الخلفي Pubload

منظر خلفي لرجل يعمل على الكمبيوتر على المكتب، مع شاشات ومعدات خلف المكتب

الملخص

في يونيو 2025، اكتشف باحثو IBM X-Force أن عنصر التهديد المرتبط بالصين، Hive0154، ينشر برمجية Pubload، مستخدمًا مستندات جذابة وأسماء ملفات تستهدف المجتمع التبتي. غالبًا ما تستخدم المجموعات التهديدية الصينية النزاع حول سيادة التبت في عملياتها السيبرانية، حيث تتزامن الحملة الأخيرة مع الأنشطة التي سبقت حدثًا مهمًا للمجتمع التبتي، وهو الذكرى التسعين لميلاد Dalai Lama.

تحتوي عدة محاولات تصيّد لوحظت على المواضيع التالية المتعلقة بالمجتمع التبتي:

  • المؤتمر التاسع للبرلمانيين العالميين حول التبت (WPCT)، عُقد في الفترة من 02/06 إلى 04/06 في طوكيو، اليابان.
  • سياسة الصين التعليمية في منطقة التبت ذاتية الحكم (TAR). الموضوع يحظى بأهمية كبيرة بالنسبة للمجتمع التبتي، وقد لاحظت Human Rights Watch الاندماج الثقافي في التبت في تقريرها.
  • كتاب Voice for the Voiceless في مارس 2025، نشره الزعيم التبتي في المنفى، Dalai Lama. يناقش الكتاب حوار Dalai Lama مع القادة الصينيين فيما يتعلق باستقلالية التبت.

النتائج الرئيسية

  • قام عنصر التهديد المرتبط بالصين بنشر العديد من محاولات التصيّد ضمن حملات مستهدفة طوال عام 2025 بهدف نشر الباب الخلفي Pubload.
  • يبتكر Hive0154 أسماء ملفات تشير إلى موضوعات جغرافية سياسية متنوعة مصممة خصوصًا لجذب اهتمام المتلقين المستهدفين.
  • اعتبارًا من مايو 2025، لاحظت X-Force تركيزًا متزايدًا على الموضوعات المصممة خصوصًا لاستهداف المجتمع التبتي
  • تشير حملات التصيد الاحتيالي إلى مؤتمر البرلمانيين العالميين التاسع بشأن التبت (WPCT) الذي عُقد في طوكيو في يونيو، وسياسة التعليم الصينية في منطقة التبت ذاتية الحكم (TAR) وكتاب "Voice for the Voiceless" لعام 2025 بواسطة Dalai Lama.
نظرة عامة على Hive0154

تُعَد Hive0154 جهة تهديد راسخة مرتبطة بالصين، تمتلك مجموعة واسعة من البرمجيات الخبيثة، وتقنيات متسقة، وأنشطة موثقة جيدًا على مدى السنوات القليلة الماضية. تتألف المجموعة من عدة مجموعات فرعية وتشارك في هجمات إلكترونية تستهدف المؤسسات العامة والخاصة، بما في ذلك مراكز الفكر ومجموعات السياسات والوكالات الحكومية والأفراد. تُظهر ملاحظات X-Force بشأن استخدام المجموعة لعدة محمّلات برمجيات خبيثة مخصصة، وأبواب خلفية، وعائلات ديدان USB، مدى تطور قدراتهم.يتداخل نشاط Hive0154 مع عناصر التهديد التي تم الإبلاغ عنها علنًا باسم Mustang Panda وStately Taurus وCamaro Dragon وTwill Typhoon وPolaris وEarth Preta.

النشاط السابق

أوضحت X-Force سابقًا بالتفصيل النشاط المكثف المنسوب إلى فرع فرعي من Hive0154، الذي استهدف الولايات المتحدة والفلبين وباكستان وتايوان في حملة تجسس مشتبه بها بين أواخر 2024 وبداية 2025. تستخدم المجموعة أرشيفات مُسلحة مصدرها رسائل البريد الإلكتروني التصيدية لاستهداف كيانات تشمل الحكومة والجيش والدبلوماسيين في الفلبين والولايات المتحدة وباكستان. تستخدم رسائل البريد الإلكتروني الاحتيالية والأرشيفات وأسماء الملفات الخبيثة إشارات إلى مواضيع جيوسياسية مختلفة مصممة خصوصًا لجمهورها المستهدف لإثارة اهتمام متزايد من المتلقين. تتضمن رسائل البريد الإلكتروني عادةً روابط إلى Google Drive تقوم بتنزيل ملفات ZIP أو RAR معدلة إذا نقر المستلم على الرابط.

مثال على رسالة بريد إلكتروني للتصيد الاحتيالي Hive0154 من حملة في أبريل 2025.
الشكل 1: مثال على رسالة بريد إلكتروني للتصيد الاحتيالي Hive0154 من حملة في أبريل 2025.

تحتوي الأرشيفات على ملف تنفيذي حميد معرض لخطر التحميل الجانبي لملفات DLL، وملف DLL خبيث من نوع Claimloader. عادةً ما يتم تغيير أسماء الملفات التنفيذية لخداع الضحايا وحثهم على فتحها، ما يؤدي على الفور إلى بدء سلسلة العدوى. يقوم برنامج Claimloader الخبيث بإنشاء استمرارية، وفك تشفير حمولة Pubload المضمنة فيه، وحقنها في الذاكرة. يقوم برنامج Pubload أيضًا بتنزيل Pubshell، وهو باب خلفي خفيف الوزن يسهِّل الوصول الفوري إلى الجهاز عبر غلاف عكسي. 

رسم تخطيطي لسلسلة الإصابة بعدوى Pubload
الشكل 2: سلسلة الإصابة بعدوى Pubload

المؤتمر البرلماني العالمي التاسع بشأن التبت (WPCT)

عند بدء الحملة في 21 مايو، كان من المرجح أن يشير الطُعم الخاص بـ WPCT أدناه إلى المؤتمر المرتقب المنعقد في طوكيو، اليابان، من 2 إلى 4 يونيو.

اسم الطُعم

 بلد المرسل

 Claimloader DLL SHA256

 التاريخ

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

 الهند

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21 مايو 2025

عادةً ما يتم عقد المؤتمر في الولايات المتحدة أو أوروبا، وتمت استضافته في اليابان لأول مرة. وبشكل عام، حضر 142 برلمانيًا وممثلًا من 29 دولة، من بينهم أعضاء برلمانيون من بلجيكا واليابان. وأصدرت السفارة الصينية في اليابان إدانة شديدة اللهجة لتورط الإدارة المركزية التبتية، والمعروفة أيضًا باسم الحكومة التبتية في المنفى، في المؤتمر. أسفرت الاتفاقية عن إعلان طوكيو، الذي أدان قمع الحكومة الصينية في منطقة التبت، ودعا إلى تشريعات دولية لحماية الحرية الثقافية والدينية التبتية. كشف باحثو X-Force عن حملة Hive0154 التي ابتكرت طُعومًا مختلفة قبل المؤتمر وبعده.

بعد المؤتمر، تم إصدار العديد من الإعلانات، بما في ذلك خطط العمل الحكيمة بشأن التبت. من المحتمل أن يقوم Hive0154 بنسخه من موقع الويب إلى مستند Microsoft Word الحميد (DOCX) داخل أرشيف مسلح. يحتوي الأرشيف أيضًا على مقالات تم نسخها مباشرةً من العديد من المواقع التبتية (هنا وهنا) فيما يتعلق بالاتفاقية، بالإضافة إلى صور أصلية من المؤتمر. من المرجح أن يؤدي وجود مقالات وصور شرعية بين الملفات التنفيذية المسلحة التي تشترك في نفس الأسماء إلى خداع الضحايا لفتح أحد ملفات EXE عن طريق الخطأ والتسبب في الإصابة دون علم.

"9th WPCT Region-Wise Action Plans on Tibet.exe": 

لقطة شاشة لملف DOCX سليم تم تجميعه في أرشيف خبيث مع ملفات EXE تحمل نفس اسم الملف.
الشكل 3: لقطة شاشة لملف DOCX سليم تم تجميعه في أرشيف خبيث مع ملفات EXE تحمل نفس اسم الملف.

"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":

لقطة شاشة لملف DOCX سليم تم تجميعه في أرشيف خبيث مع ملفات EXE تحمل نفس اسم الملف.
الشكل 4: لقطة شاشة لملف DOCX سليم تم تجميعه في أرشيف خبيث مع ملفات EXE تحمل نفس اسم الملف (المصدر: Tibet.net)

تم استخدام صور من الاتفاقية كطُعم: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe".

قادة التبت يجلسون على منصة طويلة مزودة بميكروفونات أمام الصحفيين والمواطنين. الشكل 5: صورة JPG معبأة في أرشيف مسلح (المصدر: Tibet.net).
صور فردية لقادة التبت وغيرهم من قادة العالم في المؤتمر التبتي في صورة مجمعة
الشكل 6: صور من الاتفاقية معبأة في أرشيف مسلح مع ملفات EXE وDLL الخبيثة (المصدر: Tibet.net)

نشاط إضافي يستهدف المجتمع التبتي والولايات المتحدة.

في حملة أخرى، كشفت X-Force عن ملفات خبيثة إضافية تتعلق بالتبت. تحمل هذه الملفات أسماء تتعلق بموضوعات تهم المجتمع التبتي، مثل التعليم ثنائي اللغة في التبت أو عنوان كتاب نُشر مؤخرًا لـ Dalai Lama. ربما كان اختيار مثل هذه الموضوعات مصممًا لحث المتلقين على الاستجابة والنقر فوق الملف. من الجدير بالذكر أن العينات المتعلقة بالتبت تم تقديمها من الهند، حيث تعمل الحكومة التبتية في المنفى حاليًا، وهذا يشير إلى أن مستلمي الملفات ربما قاموا بإرسالها إلى VirusTotal. في حملة موازية، اكتشفت X-Force ملفًا يحتمل أنه يستهدف البحرية الأمريكية، وربما يناقش اجتماعات مجموعات العمل الجارية بين البحرية الأمريكية وأطراف أخرى.

اسم الطُعم

دولة المرسل

Claimloader DLL SHA256

التاريخ

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

الولايات المتحدة

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

 17 أبريل 2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(مترجمة إلى التبتية: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)

الهند

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

 26 مايو 2025

صور Voice for the Voiceless/Voice for the Voiceless photos.exe

الهند

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28 مايو 2025

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

الولايات المتحدة

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

 9 يونيو 2025

“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (مترجم باللغة التبتية: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): الموضوع ذو أهمية كبيرة للمجتمع التبتي، وقد أشارت Human Rights Watch إلى الاندماج الثقافي في التبت في تقريرها.

"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": هذه إشارة إلى كتاب نشره الزعيم التبتي في المنفى، Dalai Lama، في مارس 2025. يكتب عن حواراته مع القادة الصينيين بشأن استقلالية التبت.

"DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe": قد يكون هذا الملف إشارة إلى اتفاق تعدين بين جمهورية الكونغو الديمقراطية (DRC) والولايات المتحدة، وجهود الحصول على دعمها لهذا الاتفاق بعد مراقبة أوكرانيا وهي تصل إلى اتفاق مشابه مع الولايات المتحدة. حتى يونيو 2025، كانت DRC على وشك إتمام الاتفاق مع الولايات المتحدة مقابل المساعدة العسكرية والدبلوماسية ضد متمردي M23 الذين يتم دعمهم من رواندا المجاورة.

“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: قد تكون هذه إشارة إلى الأسطول الباسيفيكي للبحرية الأمريكية وأنشطته للتواصل مع دول حوض المحيط الهادئ. يوفر الأسطول قوات بحرية للقيادة الأمريكية في المحيطين الهندي والهادئ وقد يتم استدعاؤه في حالة نشوب نزاع في تايوان.

التفاصيل الفنية: تحديثات Claimloader

Claimloader هي عائلة من عناصر التحميل التي تطورت بشكل كبير على مدار السنوات الماضية. تحتوي على حمولة shellcode مشفرة، يتم فك تشفيرها وحقنها أثناء وقت التشغيل. توفِّر مدونتنا السابقة المزيد من التفاصيل الفنية عن المتغيرات السابقة التي استخدمتها Hive0154.

في عملية التنفيذ الأولى، تبدأ أداة تحميل المطالبات بإنشاء كائن مزامنة جديد لضمان تشغيل مثيل واحد فقط من أداة تحميل المطالبات. ثم ينقل نفسه وملفات EXE الخاصة بعملياته المستخدمة لتحميل ملفات DLL الجانبية إلى دليل جديد تحت اسم جديد، مثل:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

بعد ذلك، يستخدم Claimloader واجهة برمجة التطبيقات SHSetValueA() لإنشاء استمرارية لملف EXE عبر مفتاح التسجيل أدناه:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

سيؤدي هذا إلى تنفيذ ExE في كل مرة يسجل فيها المستخدم الحالي دخوله إلى الجهاز. يتم تنفيذ العملية باستخدام وسيطة محددة مسبقًا، مثل "Licensing"، والتي تُستخدم لاستدعاء الوظيفة الرئيسية لـ Claimloader.

عند تنفيذ أداة تحميل المطالبات للمرة الثانية بالوسيطة المحددة، يبدأ متغيّر أداة تحميل المطالبات الأحدث بفك تشفير حمولة مضمّنة عبر خوارزمية TripleDES. لم تتم ملاحظة هذه الخوارزمية إلا في إصدارات Claimloader بدءًا من أواخر أبريل 2025. تستخدم المتغيرات المحدثة أيضًا أسماء واجهة برمجة التطبيقات المشفرة باستخدام XOR وواجهات برمجة التطبيقات الأصلية LdrLoadDll () وLdrGetProcedureAddress () لحل عمليات الاستيراد بشكل ديناميكي.

بعد السكون لمدة خمس ثوانٍ، يخصص Claimloader مخزنًا مؤقتًا جديدًا قابلًا للتنفيذ في الذاكرة وينسخ حمولة shellcode فيه. يدخل البرنامج ضار في وضع السكون لمدة 10 ثوانٍ أخرى ثم يدعو واجهة برمجة التطبيقات GetDC() وEnumFontsW()، والتي يستخدمها لتنفيذ الحمولة في الذاكرة عن طريق تمرير نقطة الدخول كدالة استدعاء.

الباب الخلفي Pubload

لم تخضع حمولة Pubload shellcode لأي تحديثات منذ تقريرنا الأخير. يحتوي على روتين بسيط لفك التشفير الذاتي قبل تنفيذ وظيفته الرئيسية. Pubload هو باب خلفي بسيط قادر على تنزيل حمولات shellcode مشفرة يتم حقنها في الذاكرة. أحد أوائل الحمولات هو وحدة Pubshell الذي ينفِّذ قشرة عكسية لتمكين الوصول الفوري إلى الجهاز المصاب.

الخاتمة

لا يزال Hive0154 عنصر تهديد عالي الكفاءة يمتلك عدة مجموعات فرعية نشطة ودورات تطوير متكررة. تقدِّر X-Force بثقة عالية أن المجموعات المرتبطة بالصين مثل Hive0154 ستواصل تحسين ترسانتها الكبيرة من البرمجيات الخبيثة واستهداف المؤسسات العامة والخاصة حول العالم. يجب على الكيانات المعرضة لنشاط Hive0154 الحفاظ على مستوى عالٍ من الأمن الدفاعي والبقاء يقظة فيما يتعلق بالتقنيات المذكورة في هذا التقرير.

التوصيات

  • توخَّي الحذر مع الرسائل الإلكترونية التي تحتوي على رابط تحميل من Google Drive.
  • احرص على توخي الحذر عند التعامل مع ملفات الأرشيف المضغوطة التي تُنزَّل من الإنترنت، حتى إذا كانت تحتوي على مستندات تتوقع وجودها. درّب الموظفين على الانتباه لامتدادات الملفات غير المتوقَّعة والتعرّف عليها عند ظهورها.
  • مراقبة الشبكات والبحث فيها عن حزم بيانات تطبيق TLS 1.2 (العنوان: 17 03 03) التي لا تسبقها عملية مصافحة TLS كإشارة إلى وجود منارة Pubload أو Toneshell.
  • مراقبة وتعقُّب محركات USB التي تحتوي على أسماء تنفيذية مشبوهة، وملفات DLL، ودلائل مخفية، والتي قد تُشير إلى جهاز مصاب بدودة USB.
  • مراقبة واستكشاف الأدلة المشبوهة وغير المعروفة في C:\ProgramData\*‎ والتي تحتوي على EXE مشروع معرض للتحميل الجانبي لـ DLL وDLL المقابل.
  • مراقبة تقنيات الثبات والبحث عنها في السجل والمهام المجدولة
  • مراقبة أي نشاط غير عادي للشبكة أو الاستمرارية أو تعديل الملفات يأتي من الملفات التنفيذية للعملية التي تبدو حميدة والتي تؤدي إلى تحميل ملف DLL ضار

مؤشرات الاختراق

المؤشر

نوع المؤشر

السياق

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

Claimloader DLL

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

Claimloader DLL

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

Claimloader DLL

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

Claimloader DLL

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

Claimloader DLL

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

الأرشيف المسلح

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

الأرشيف المسلح

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

الأرشيف المسلح

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
ff874c

SHA256

الأرشيف المسلح

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

الأرشيف المسلح

218.255.96[.]245:443

IPv4

خادم Pubload C2

تم الآن دمج IBM® X-Force Premier Threat Intelligence مع OpenCTI بواسطة Filigran، ما يوفر استعلامات تهديدات قابلة للتنفيذ حول هذا النشاط التهديدي والمزيد. الوصول إلى رؤى حول عنصر التهديد والبرامج الضارة ومخاطر الصناعة. تثبيت موصِّل OpenCTI من X-Force لتعزيز قدرات الكشف والاستجابة، وتقوية منظومتك الأمنية بخبرة IBM X-Force. احصل على نسخة تجريبية من X-Force Premier Threat Intelligence مدتها 30 يومًا اليوم!

