Segurança

Hive0154, também conhecido como Mustang Panda, muda o foco para a comunidade tibetana para implementar a backdoor do Pubload

Vista de trás de um homem trabalhando no computador na mesa, com monitores e equipamentos além da mesa

Autores

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

Resumo

Em junho de 2025, os pesquisadores do IBM® X-Force descobriram um agente da ameaça alinhado à China, Hive0154, que espalha o malware Pubload com documentos e nomes de arquivos atraentes visando a comunidade tibetana. A disputa da soberania tibetana é frequentemente invocada por grupos de ameaças chineses em suas operações cibernéticas, com a última campanha coincidindo com atividades que antecedem um grande evento para a comunidade tibetana, o 90º aniversário do Dalai Lama.

Várias iscas observadas apresentam as seguintes funcionalidades relacionadas à comunidade tibetana:

  • 9.ª Convenção Parlamentar Mundial sobre o Tibete (WPCT), realizada de 02/06 a 04/06 em Tóquio, Japão.
  • A política educacional da China na Região Autônoma do Tibete (TAR). O tópico é de grande importância para a comunidade tibetana, e a assimilação cultural no tibete foi observada pela Human Rights Watch em seu relatório. 
  • O livro Voice for the Voiceless de março de 2025, publicado pelo líder tibetano no exílio, o Dalai Lama. O livro discute o diálogo do Dalai Lama com os líderes chineses a respeito da independência do Tibete.

Principais descobertas

  • O agente da ameaça alinhado à China, Hive0154, espalhou inúmeras iscas de phishing em campanhas direcionadas ao longo de 2025 para implementar a backdoor do Pubload
  • O Hive0154 cria nomes de arquivos que fazem referência a vários tópicos geopolíticos adaptados para obter maior interesse dos destinatários-alvo
  • Em maio de 2025, o X-Force notou um aumento no foco em assuntos adaptados à comunidade tibetana
  • As campanhas de phishing fazem referência à 9.ª Convenção dos Parlamentares Mundiais sobre o Tibete (WPCT), realizada em Tóquio em junho, à Educação da China na Região Autônoma do Tibete (TAR) e ao livro de 2025, Voice for the Voiceless, do Dalai Lama.
Visão geral do Hive0154

O Hive0154 é um agente da ameaça bem estabelecido e alinhado à China, com um grande arsenal de malware, técnicas consistentes e atividades bem documentadas nos últimos anos. O grupo consiste em vários subclusters e se envolve em ataques cibernéticos direcionados a Organizações públicas e privadas, incluindo think tanks, grupos de políticas, agências governamentais e indivíduos. A observação do X-Force sobre o uso do grupo de vários carregadores de malware personalizados, backdoors e famílias de worms USB demonstra seus recursos avançados. A atividade do Hive0154 se sobrepõe à de agentes da ameaça relatados publicamente como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris e Earth Preta.

Atividade anterior

O X-Force detalhou anteriormente a extensa atividade atribuída a um subcluster do Hive0154 que tem como alvo os EUA, Filipinas, Paquistão e Taiwan, em uma campanha suspeita de espionagem do final de 2024 ao início de 2025. O grupo utiliza arquivos armamentizados originados de e-mails de spear phishing para atacar entidades, incluindo o governo, os militares e o governo das Filipinas, dos Estados Unidos e do Paquistão, além de pessoal militar e diplomata. Os e-mails de phishing, arquivos e nomes de arquivos maliciosos usam referências a vários tópicos geopolíticos adaptados à sua audiência específica para provocar um maior interesse dos destinatários. Os e-mails geralmente incluem URLs do Google Drive que baixam arquivos ZIP ou RAR armamentizados se o destinatário clicar no link.

Exemplo de e-mail de phishing Hive0154 de uma campanha em abril de 2025.
Fig. 1: exemplo de e-mail de phishing Hive0154 de uma campanha em abril de 2025.

Os arquivos contêm um executável benigno vulnerável ao sideloading de DLL e uma DLL do Claimloader maliciosa. Os executáveis são renomeados para enganar as vítimas para que os abram, o que acionaria imediatamente a cadeia de infecção. O malware Claimloader estabelece persistência, descriptografa sua carga do Pubload incorporada e a injeta na memória. O Pubload faz ainda mais o PubShell, uma backdoor leve que facilita o acesso imediato à máquina por meio de um shell reverso. 

Diagrama da cadeia de infecção do Pubload
Fig. 2: cadeia de infecção de carregamento de conteúdo

9ª Convenção Mundial de Parlamentares sobre o Tibete (WPCT)

Na época em que a campanha começou (21 de maio), a atração do WPCT abaixo era provavelmente uma referência à próxima convenção realizada em Tóquio, Japão, de 2 a 4 de junho.

Nome da isca

 País do remetente

 DLL SHA256 do Claimloader

 Data

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

 Índia

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21  de  maio  de  2025

A convenção geralmente é realizada nos EUA ou na Europa, e foi sediada no Japão pela primeira vez. Ao todo, 142 parlamentares e representantes de 29 países participaram, incluindo membros parlamentares da Bélgica e do Japão. A Embaixada da China no Japão emitiu uma forte denúncia sobre o envolvimento da Administração Central tibetana, também conhecida como o governo tibetano no exilado, na convenção. A convenção resultou na Declaração de Tóquio, condenando a repressão do governo chinês na região do Tibete, e exigindo legislação internacional para salvaguardar a liberdade cultural e religiosa tibetana. Os pesquisadores do X-Force descobriram a campanha Hive0154, desenvolvendo diferentes iscas antes e depois da convenção.

Após a convenção, várias declarações foram emitidas, incluindo Planos de Ação Sábios sobre o Tibete. O Hive0154 provavelmente o copiou do site para um documento benigno do Microsoft Word (DOCX) dentro de um arquivo armamentizados. O arquivo contém ainda artigos copiados diretamente de vários sites tibetanos (aqui e aqui) relacionados à convenção, bem como fotos autênticas da convenção. A presença de artigos e fotos legítimos entre os executáveis armamentizados que compartilham os mesmos nomes provavelmente enganará as vítimas, fazendo-as abrir acidentalmente um dos arquivos EXE e, sem saber, desencadear a infecção.

“9th WPCT Region-Wise Action Plans on Tibet.exe”: 

Captura de tela de DOCX benigno empacotado em um arquivo armamentizado com EXEs compartilhando o mesmo nome de arquivo
Fig. 3: captura de tela de DOCX benigno empacotado em arquivo armamentizado com EXEs compartilhando o mesmo nome de arquivo

"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":

Captura de tela de DOCX benigno empacotado em um arquivo armamentizado com EXEs compartilhando o mesmo nome de arquivo
Fig. 4: captura de tela de DOCX benigno empacotado em arquivo armamentizado com EXEs compartilhando o mesmo nome de arquivo (fonte: Tibet.net)

Fotos da convenção usadas como isca: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"

Líderes tibetanos sentados em um longo pódio com microfones em frente a repórteres e cidadãos Fig. 5: imagem JPG empacotada em arquivo armamentizados (fonte: Tibet.net)
fotos individuais de tibanos e de outros líderes mundiais na conferência tibetana em uma colagem
Fig. 6: imagens da convenção empacotadas em um arquivo armamentizado, juntamente com EXE e DLL maliciosos (fonte: Tibet.net)

Outras atividades voltadas para a comunidade tibetana e os EUA

Em outra campanha, o X-Force descobriu arquivos maliciosos adicionais com temática do Tibete. Esses arquivos têm nomes com tópicos que são de interesse da comunidade tibetana, como educação bilíngue no Tibete ou o título de um livro publicado recentemente pelo Dalai Lama. A escolha desses tópicos provavelmente foi projetada para motivar os destinatários a serem receptivos e clicar no arquivo. É importante notar que as amostras relacionadas ao Tibete foram enviadas da Índia, onde o governo tibetano no exílio opera atualmente, o que sugere que os destinatários dos arquivos podem tê-los enviado ao VirusTotal. Em uma campanha paralela, o X-Force descobriu um arquivo provavelmente visando a Marinha dos EUA, possivelmente discutindo reuniões de grupo de trabalho em andamento entre a Marinha dos EUA e outras partes.

Nome da isca

País do remetente

DLL SHA256 do Claimloader

Data

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

Estados Unidos

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

 17 de abril de 2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)

Índia

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

 26 de maio de 2025

Voice for the Voiceless photos/Voice for the Voiceless photos.exe

Índia

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28 de maio de 2025

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

Estados Unidos

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

 9 de junho de 2025

“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): O tópico é de grande importância para a comunidade tibetana e a assimilação cultural no aumentando foi observada pela Human Rights Watch em seu relatório.

“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Esta é uma referência a um livro publicado pelo líder tibântico no exilado, o Dalai Lama, em março de 2025. Ele escreve sobre seu diálogo com líderes chineses sobre a independência do tibete.

“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Esse arquivo pode ser uma referência ao acordo de mineração da República Democrática do Congo (RDC) com os EUA. e aos esforços para obter seu apoio para tal acordo depois de observar a Ucrânia alcançando um acordo semelhante com os EUA. Em junho de 2025, a RDC está prestes a finalizar o acordo com os EUA em troca de assistência militar e diplomática contra os rebeldes do M23 que estão sendo apoiados pelo vizinho Ruanda.

“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Isso pode ser uma referência à Frota do Pacífico da Marinha dos EUA e suas atividades de divulgação aos países do Círculo do Pacífico. A frota fornece forças navais ao Comando Indo-Pacífico dos EUA e pode ser chamada no caso de um conflito em Taiwan.

Detalhes técnicos: atualizações do Claimloader

Claimloader é uma família de carregadores que evoluíram significativamente nos últimos anos. Eles contêm uma carga de shellcode criptografada, que é descriptografada e injetada no tempo de execução. Nosso blog anterior fornece mais detalhes técnicos sobre variantes anteriores usadas pelo Hive0154.

Na primeira execução, o Claimloader começa criando um novo objeto mutex para garantir que apenas uma única instância de Claimloader esteja em execução. Em seguida, ele migrar a si mesmo e o EXE de seus processos usado para o sideloading da DLL para um novo diretório com um novo nome, como:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Em seguida, o Claimloader utiliza a API SHSetValueA() para estabelecer persistência para o EXE por meio de uma chave de registro abaixo:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Isso fará com que o EXE seja executado toda vez que o usuário atual fizer login na máquina. O processo é executado com um argumento predefinido, como "Licensing", que é usado para invocar a funcionalidade principal do Claimloader.

Na segunda execução do Claimloader com o argumento especificado, a variante mais recente do Claimloader começa a descriptografar uma carga incorporada por meio do algoritmo TripleDES. Esse algoritmo só foi observado nas variantes do Claimloader a partir do final de abril de 2025. As variantes atualizadas também utilizam nomes de API criptografados por XOR e APIs nativas LdrLoadDll() e LdrGetProcedureAddress() para resolver importações dinamicamente.

Depois de inativo por cinco segundos, o Claimloader aloca um novo buffer executável na memória e copia a carga do shellcode nele. O malware fica em suspensão por mais 10 segundos e, em seguida, chama as funções GetDC() e EnumFontW() da API, que são usadas para executar a carga na memória, passando seu ponto de entrada como uma função de retorno de chamada.

Backdoor do Pubload

A carga do shellcode Pubload não passou por nenhuma atualização desde nosso último relatório. Ele contém uma rotina simples de autodescriptografia antes de executar sua funcionalidade principal. O Pubload é uma backdoor simples capaz de fazer download de cargas do shellcode criptografadas, que são injetadas na memória. Uma das primeiras úteis é o módulo Pubshell, que implementa um shell reverso para facilitar o acesso imediato à máquina infectada.

Conclusão

O Hive0154 continua sendo um agente da ameaça altamente capaz, com vários subclusters ativos e ciclos de desenvolvimento frequentes. O X-Force avalia com alta confiança que grupos alinhados à China, como o Hive0154, continuarão a refinar seu grande arsenal de malware e terão como alvo organizações públicas e privadas em todo o mundo. As entidades em risco de atividade do Hive0154 devem permanecer em um estado mais elevado de segurança defensiva e vigilantes em relação às técnicas mencionadas neste relatório.

Recomendações

  • Tenha cuidado com e-mails que contenham links para download do Google Drive
  • Tenha cuidado com arquivos baixados, mesmo que eles contenham documentos esperados. Treine a equipe para exibir e reconhecer extensões de arquivos inesperadas.
  • Monitorar e buscar pacotes de dados de aplicações TLS 1.2 em redes (cabeçalho: 17 03 03) sem um handshake de TLS anterior como sinal de um beacon de Pubload ou Toneshell
  • Monitore e busque unidades USB que contenham nomes executáveis suspeitos, DLLs e diretórios ocultos que possam indicar um dispositivo infectado com um worm USB
  • Monitore e busque diretórios suspeitos e desconhecidos em C:\ProgramData\* que contenham um EXE legítimo vulnerável ao sideloading da DLL e uma DLL correspondente
  • Monitore e procure técnicas de persistência no registro e tarefas agendadas
  • Monitore qualquer atividade incomum de rede, persistência ou modificação de arquivos proveniente de executáveis de processos aparentemente benignos que faça o sideload uma DLL maliciosa

Indicadores de comprometimento

Indicador

Tipo de indicador

Contexto

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

DLL do Claimloader

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

DLL do Claimloader

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

DLL do Claimloader

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

DLL do Claimloader

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

DLL do Claimloader

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

Arquivo armamentizado

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

Arquivo armamentizado

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

Arquivo armamentizado

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
ff874c

SHA256

Arquivo armamentizado

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

Arquivo armamentizado

218.255.96[.]245:443

IPv4

Servidor C2 do Pubload

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI pela Filigran, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e muito mais. Acesse insights sobre agentes de ameaças, malware e riscos dos setores. Instale o X-Force OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Obtenha hoje mesmo uma avaliação de 30 dias do X-Force Premier Threat Intelligence!

