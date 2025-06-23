Em junho de 2025, os pesquisadores do IBM® X-Force descobriram um agente da ameaça alinhado à China, Hive0154, que espalha o malware Pubload com documentos e nomes de arquivos atraentes visando a comunidade tibetana. A disputa da soberania tibetana é frequentemente invocada por grupos de ameaças chineses em suas operações cibernéticas, com a última campanha coincidindo com atividades que antecedem um grande evento para a comunidade tibetana, o 90º aniversário do Dalai Lama.
Várias iscas observadas apresentam as seguintes funcionalidades relacionadas à comunidade tibetana:
O Hive0154 é um agente da ameaça bem estabelecido e alinhado à China, com um grande arsenal de malware, técnicas consistentes e atividades bem documentadas nos últimos anos. O grupo consiste em vários subclusters e se envolve em ataques cibernéticos direcionados a Organizações públicas e privadas, incluindo think tanks, grupos de políticas, agências governamentais e indivíduos. A observação do X-Force sobre o uso do grupo de vários carregadores de malware personalizados, backdoors e famílias de worms USB demonstra seus recursos avançados. A atividade do Hive0154 se sobrepõe à de agentes da ameaça relatados publicamente como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris e Earth Preta.
O X-Force detalhou anteriormente a extensa atividade atribuída a um subcluster do Hive0154 que tem como alvo os EUA, Filipinas, Paquistão e Taiwan, em uma campanha suspeita de espionagem do final de 2024 ao início de 2025. O grupo utiliza arquivos armamentizados originados de e-mails de spear phishing para atacar entidades, incluindo o governo, os militares e o governo das Filipinas, dos Estados Unidos e do Paquistão, além de pessoal militar e diplomata. Os e-mails de phishing, arquivos e nomes de arquivos maliciosos usam referências a vários tópicos geopolíticos adaptados à sua audiência específica para provocar um maior interesse dos destinatários. Os e-mails geralmente incluem URLs do Google Drive que baixam arquivos ZIP ou RAR armamentizados se o destinatário clicar no link.
Os arquivos contêm um executável benigno vulnerável ao sideloading de DLL e uma DLL do Claimloader maliciosa. Os executáveis são renomeados para enganar as vítimas para que os abram, o que acionaria imediatamente a cadeia de infecção. O malware Claimloader estabelece persistência, descriptografa sua carga do Pubload incorporada e a injeta na memória. O Pubload faz ainda mais o PubShell, uma backdoor leve que facilita o acesso imediato à máquina por meio de um shell reverso.
Na época em que a campanha começou (21 de maio), a atração do WPCT abaixo era provavelmente uma referência à próxima convenção realizada em Tóquio, Japão, de 2 a 4 de junho.
Nome da isca
País do remetente
DLL SHA256 do Claimloader
Data
(WPCT)-ICT&CTA_Conference
Índia
2bd60685299c62ab
21 de maio de 2025
A convenção geralmente é realizada nos EUA ou na Europa, e foi sediada no Japão pela primeira vez. Ao todo, 142 parlamentares e representantes de 29 países participaram, incluindo membros parlamentares da Bélgica e do Japão. A Embaixada da China no Japão emitiu uma forte denúncia sobre o envolvimento da Administração Central tibetana, também conhecida como o governo tibetano no exilado, na convenção. A convenção resultou na Declaração de Tóquio, condenando a repressão do governo chinês na região do Tibete, e exigindo legislação internacional para salvaguardar a liberdade cultural e religiosa tibetana. Os pesquisadores do X-Force descobriram a campanha Hive0154, desenvolvendo diferentes iscas antes e depois da convenção.
Após a convenção, várias declarações foram emitidas, incluindo Planos de Ação Sábios sobre o Tibete. O Hive0154 provavelmente o copiou do site para um documento benigno do Microsoft Word (DOCX) dentro de um arquivo armamentizados. O arquivo contém ainda artigos copiados diretamente de vários sites tibetanos (aqui e aqui) relacionados à convenção, bem como fotos autênticas da convenção. A presença de artigos e fotos legítimos entre os executáveis armamentizados que compartilham os mesmos nomes provavelmente enganará as vítimas, fazendo-as abrir acidentalmente um dos arquivos EXE e, sem saber, desencadear a infecção.
“9th WPCT Region-Wise Action Plans on Tibet.exe”:
"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":
Fotos da convenção usadas como isca: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"
Em outra campanha, o X-Force descobriu arquivos maliciosos adicionais com temática do Tibete. Esses arquivos têm nomes com tópicos que são de interesse da comunidade tibetana, como educação bilíngue no Tibete ou o título de um livro publicado recentemente pelo Dalai Lama. A escolha desses tópicos provavelmente foi projetada para motivar os destinatários a serem receptivos e clicar no arquivo. É importante notar que as amostras relacionadas ao Tibete foram enviadas da Índia, onde o governo tibetano no exílio opera atualmente, o que sugere que os destinatários dos arquivos podem tê-los enviado ao VirusTotal. Em uma campanha paralela, o X-Force descobriu um arquivo provavelmente visando a Marinha dos EUA, possivelmente discutindo reuniões de grupo de trabalho em andamento entre a Marinha dos EUA e outras partes.
Nome da isca
País do remetente
DLL SHA256 do Claimloader
Data
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
Estados Unidos
c80dfc678570bde7c
17 de abril de 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)
Índia
93f1fd31e197a58b03c
26 de maio de 2025
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
Índia
3e7384c5e7c5764258
28 de maio de 2025
(USPACFLT) Working_Group_
Estados Unidos
8cd4324e1e764aafba
9 de junho de 2025
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): O tópico é de grande importância para a comunidade tibetana e a assimilação cultural no aumentando foi observada pela Human Rights Watch em seu relatório.
“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Esta é uma referência a um livro publicado pelo líder tibântico no exilado, o Dalai Lama, em março de 2025. Ele escreve sobre seu diálogo com líderes chineses sobre a independência do tibete.
“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Esse arquivo pode ser uma referência ao acordo de mineração da República Democrática do Congo (RDC) com os EUA. e aos esforços para obter seu apoio para tal acordo depois de observar a Ucrânia alcançando um acordo semelhante com os EUA. Em junho de 2025, a RDC está prestes a finalizar o acordo com os EUA em troca de assistência militar e diplomática contra os rebeldes do M23 que estão sendo apoiados pelo vizinho Ruanda.
“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Isso pode ser uma referência à Frota do Pacífico da Marinha dos EUA e suas atividades de divulgação aos países do Círculo do Pacífico. A frota fornece forças navais ao Comando Indo-Pacífico dos EUA e pode ser chamada no caso de um conflito em Taiwan.
Claimloader é uma família de carregadores que evoluíram significativamente nos últimos anos. Eles contêm uma carga de shellcode criptografada, que é descriptografada e injetada no tempo de execução. Nosso blog anterior fornece mais detalhes técnicos sobre variantes anteriores usadas pelo Hive0154.
Na primeira execução, o Claimloader começa criando um novo objeto mutex para garantir que apenas uma única instância de Claimloader esteja em execução. Em seguida, ele migrar a si mesmo e o EXE de seus processos usado para o sideloading da DLL para um novo diretório com um novo nome, como:
Em seguida, o Claimloader utiliza a API SHSetValueA() para estabelecer persistência para o EXE por meio de uma chave de registro abaixo:
Isso fará com que o EXE seja executado toda vez que o usuário atual fizer login na máquina. O processo é executado com um argumento predefinido, como "Licensing", que é usado para invocar a funcionalidade principal do Claimloader.
Na segunda execução do Claimloader com o argumento especificado, a variante mais recente do Claimloader começa a descriptografar uma carga incorporada por meio do algoritmo TripleDES. Esse algoritmo só foi observado nas variantes do Claimloader a partir do final de abril de 2025. As variantes atualizadas também utilizam nomes de API criptografados por XOR e APIs nativas LdrLoadDll() e LdrGetProcedureAddress() para resolver importações dinamicamente.
Depois de inativo por cinco segundos, o Claimloader aloca um novo buffer executável na memória e copia a carga do shellcode nele. O malware fica em suspensão por mais 10 segundos e, em seguida, chama as funções GetDC() e EnumFontW() da API, que são usadas para executar a carga na memória, passando seu ponto de entrada como uma função de retorno de chamada.
A carga do shellcode Pubload não passou por nenhuma atualização desde nosso último relatório. Ele contém uma rotina simples de autodescriptografia antes de executar sua funcionalidade principal. O Pubload é uma backdoor simples capaz de fazer download de cargas do shellcode criptografadas, que são injetadas na memória. Uma das primeiras úteis é o módulo Pubshell, que implementa um shell reverso para facilitar o acesso imediato à máquina infectada.
O Hive0154 continua sendo um agente da ameaça altamente capaz, com vários subclusters ativos e ciclos de desenvolvimento frequentes. O X-Force avalia com alta confiança que grupos alinhados à China, como o Hive0154, continuarão a refinar seu grande arsenal de malware e terão como alvo organizações públicas e privadas em todo o mundo. As entidades em risco de atividade do Hive0154 devem permanecer em um estado mais elevado de segurança defensiva e vigilantes em relação às técnicas mencionadas neste relatório.
Indicador
Tipo de indicador
Contexto
2bd60685299c62abe500fe80e
SHA256
DLL do Claimloader
c80dfc678570bde7c19df21877a1
SHA256
DLL do Claimloader
93f1fd31e197a58b03c6f5f774c138
SHA256
DLL do Claimloader
3e7384c5e7c5764258947721c77
SHA256
DLL do Claimloader
8cd4324e1e764aafba4ea0394a8
SHA256
DLL do Claimloader
7979686bf73c2988ab5d57f9605
SHA256
Arquivo armamentizado
ea991719885b2fe91502218ff3be1
SHA256
Arquivo armamentizado
6e408aada775eaf19c524792344c
SHA256
Arquivo armamentizado
57770ede7015734e2d881430423b
SHA256
Arquivo armamentizado
fb33f222b3d4d5edc9b743e6428
SHA256
Arquivo armamentizado
218.255.96[.]245:443
IPv4
Servidor C2 do Pubload
