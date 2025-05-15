Tags
Hive0154 tendo como alvo os EUA, Filipinas, Paquistão e Taiwan em suspeita de campanha de espionagem

a Terra vista do espaço com linhas digitais conectando pontos do planeta

Autores

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

A partir de maio de 2025, o IBM X-Force está rastreando uma suspeita campanha de espionagem usando arquivos ZIP armamentizados para distribuir backdoors Pubload e Toneshell. O X-Force atribui essa campanha, que provavelmente começou no final de 2024, ao agente da ameaça alinhado à China Hive0154, cujas operações se sobrepõem a grupos rastreados como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris e Earth Preta. Os arquivos contêm iscas com temas políticos, provavelmente destinadas a atrair funcionários do governo, militares e diplomatas das Filipinas, dos Estados Unidos e do Paquistão. Os subclusters Hive0154 usaram táticas semelhantes no passado. Especificamente, eles usaram o malware Claimloader para instalar backdoors persistentes, facilitando o acesso direto aos ambientes das vítimas, para obter insights avançados sobre as decisões emergentes dos governos mundiais. O X-Force também observou o grupo empregando um worm USB para espalhar o Pubload em Taiwan, potencialmente alcançando redes que podem estar isoladas.

Principais descobertas

  • O Hive0154 é um agente da ameaça bem estabelecido e alinhado à China, com um grande arsenal de malware, técnicas consistentes e atividades bem documentadas nos últimos anos
  • Entre o arsenal de malware, o X-Force descobriu uma série de ferramentas projetadas para atingir uma audiência específica, provavelmente visando o governo, os militares e o pessoal diplomático das Filipinas, dos Estados Unidos e do Paquistão.
  • A descoberta do X-Force sugere o uso pelo Hive0154 de tópicos geopolíticos adaptados para audiência separada: 1. Filipinas, usando as pressões do Mar do Sul da China; 2. Paquistão, usando as atividades dos separatistas do Baluchistão; e 3. os Estados Unidos, utilizando notas falsificadas de reuniões do National Security Council.
  • Esses ataques personalizados sugerem que o Hive0154 provavelmente está tentando obter inteligência sobre as possíveis estratégias e intenções da administração dos EUA e dos países vizinhos da China.
  • Um dos subclusters do Hive0154 tem usado consistentemente variantes do Claimloader em evolução para implementar backdoors relacionados ao Pubload e Toneshell e entidades-alvo na Europa, na região da Ásia-Pacífico e nos EUA
  • O X-Force investigou atividades recentes em Taiwan, onde o worm HIUPAN USB foi usado para espalhar o backdoor do Pubload para uma grande empresa de fabricação. O Hive0154 também usa nomes de arquivos relacionados a faturas e documentos legais como iscas para atacar Taiwan em maio de 2025

Visão geral do Hive0154

Desde pelo menos 2022, o Hive0154 usou a família de malware Toneshell, entre outras, para realizar operações cibernéticas em todo o mundo. Malware relacionados ao Toneshell, como o Pubload e o Pubshell (também conhecido como NoFive), indicam que o grupo mantém malware separados como parte de suas operações. O grupo consiste em vários subclusters e tem como alvo organizações públicas e privadas, incluindo think tanks, grupos de políticas, agências governamentais e indivíduos. O X-Force avalia que esse agente da ameaça é uma ameaça capaz, como evidenciado pelo uso de vários carregadores de malware independentes, backdoor e famílias de worms USB, além de relatórios consistentes de sua atividade por várias equipes de pesquisa de segurança.

Atividade anterior

Em 2023, a Palo Alto relatou que um dos subclusters Hive0154 que o X-Force rastreia estava usando várias iscas para espalhar a backdoor do Pubload. Algumas das iscas abaixo também coincidem com uma campanha contra Mianmar, conforme relatado pela CSIRT CTI em janeiro de 2024. As ameaças abaixo mostram o interesse contínuo da China nos países do Sudeste Asiático e na Austrália.

Nome da isca

Descrição

SHA256

Data

Notice re UEC, (04-25-2023 Day).zip

Desconhecido

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

Abril de 2023

April 27 updated party list.zip

Desconhecido

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

Abril de 2023

Biography of Senator the Hon Don Farrell.zip

O nome do arquivo parece ser uma cópia direta do título que aparece no site do Comércio e Turismo da Austrália sobre o ministro do Comércio australiano.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

Abril de 2023

A SAC tem alguns requisitos de instrução para as eleições gerais

Desconhecido

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

Abril de 2023

National Security Priority Programs.zip

Desconhecido

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

Maio de 2023

230605 Ministerial meeting minutes (1).zip

O arquivo pode ser uma referência à declaração que ocorreu em Paris em 8 de junho de 2023 por ministros da Austrália, Canadá, Japão, Estados Unidos, Reino Unido e Nova Zelândia sobre práticas comerciais abusivas relacionadas à região Ásia-Pacífico.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

Junho de 2023

NUG's Foreign Policy Strategy.zip

A declaração aparece nesta página da CSIS Indonésia, referente a uma situação em curso em Mianmar, país mergulhado em uma guerra civil, com relatos sugerindo que a China estaria considerando enviar pessoal de segurança para apoiar o governo da junta militar de Mianmar, segundo informações de dezembro de 2024.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

Agosto de 2023

Analysis of the third meeting of NDSC.zip

O arquivo pode ter sido parte de uma campanha anteriormente relatada contra o governo de Mianmar pela Stately Taurus no início de 2024. Por volta de outubro de 2023, Mianmar se envolveu em uma guerra civil entre uma fação rebelde e as forças do governo, onde as forças revolucionárias tomaram efetivamente o controle de uma rota comercial importante para a China. 

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

Novembro de 2023

    

Os arquivos ZIP armamentizados geralmente contêm um executável legítimo renomeado, como SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), que é usado para fazer o sideload de uma DLL mal-intencionada. A DLL faz parte da família Claimloader, que é composta por diferentes variantes de carregador de shellcode usadas pelo Hive0154 ao longo dos anos para carregar cargas associadas às famílias de backdoor Pubload e Toneshell.

Ao longo de 2024, foram registradas mais atividades do Hive0154, algumas das quais foram relatadas por FatzQuatz., o StrikeReadyLabs Conta do Twitter/X e Hunt.io:

Nome da isca

Descrição

SHA256

Data

Meeting Request--30-31-05.zip

Desconhecido

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

Maio de 2024

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

Desconhecido

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

Maio de 2024

Attendee list template (24-6-2024).zip

Desconhecido

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

Junho de 2024

Notice of Final Meeting.zip

Desconhecido

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

Julho de 2024

a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Competitiveness
on the World Stage.pptx

Desconhecido

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

Julho de 2024

Interview with Surachet
Praweewongwut.rar

Desconhecido

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

Agosto de 2024

IISS Prague Defence Summit 2024.zip

Campanha Mustang Panda relatada anteriormente visando participantes do IISS Defense Summit em Praga, em novembro de 2024.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

Agosto de 2024

NDI-IRI_Election_
Observation_
Mission_Report.zip

O nome do arquivo parece fazer referência ao relatório NDI-IRI publicado em junho de 2023 sobre eleições na Nigéria. O relatório foi encomendado com o apoio da US Agency for International Development (USAID).

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

Agosto de 2024

leadership information list.zip

Desconhecido

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

Agosto de 2024

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

A atração provavelmente se refere à reunião bilateral entre a Tailândia e as Filipinas que ocorreu em outubro de 2024.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(EXE legítimo,
DLL correspondente
desconhecida)

Setembro de 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

O documento de isca parece ser da Agência Nacional de Gerenciamento de Desastres da Malásia (NADMA, Agenteni Pengurusan Bencana Negara) e suas respostas contínuas à Covid-19 na Malásia. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

outubro de 2024

    

A técnica de sideloading da DLL dentro dos ZIPs permanece a mesma, mas diferentes versões do Claimloader DLL foram registradas com alterações no algoritmo de descriptografia. Algumas das campanhas também usaram diretamente uma DLL do Toneshell (0bd114fefd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b). 

Tensões no Mar da China Meridional

O X-Force observou várias novas campanhas no final de 2024 e início de 2025 seguindo os mesmos TTPs, que foram atribuídos ao mesmo subcluster Hive0154. As variantes mais recentes do Claimloader também são compatíveis com a abertura de PDFs falsos como parte da rotina de instalação, antes de injetar suas cargas do shellcode. Os PDFs, assim como as DLLs, usam atributos de arquivo para permanecerem ocultos para um usuário padrão.

Duas iscas e seus respectivos nomes de arquivo de chamariz mencionam especificamente as tensões no Mar da China Meridional entre a China e as Filipinas, com o governo filipino defendendo uma estreita cooperação militar. com os Estados Unidos, tendo em vista as crescentes atividades militares chinesas. Esses acontecimentos provavelmente aumentarão o interesse dos destinatários, que podem estar mais inclinados a abrir o anexo. Esses destinatários podem incluir o governo das Filipinas, pessoal militar e diplomata, e também podem envolver o governo e pessoal militar dos EUA cujo serviço possa garantir o envolvimento no tópico apresentado pelos nomes dos arquivos.

Nome da isca

Nome do arquivo isca

DLL SHA256 associada

Data

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

outubro de 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

Novembro de 2024

Ambos induzem o sideload de uma DLL do Claimloader, que carrega o mesmo backdoor Toneshell detalhado mais abaixo. 

Claimloader

Claimloader é uma família de carregadores usados pelo Hive0154 no passado para carregar várias cargas do shellcode, incluindo Toneshell e Pubload. Ao longo dos anos, ele evoluiu para várias versões diferentes com funcionalidades variadas.

Uma das primeiras amostras, compilada no final de 2021, foi publicada pela Unit 42 da Palo Alto. Ele usa uma técnica interessante, copiando o shellcode em um buffer por meio da API UuidfromStringA. Além disso, ele executa o shellcode como uma função de retorno de chamada passada para EnumSystemLanguageGroupsA.

código de amostra inicial do claimloader
Fig. 1: amostra inicial do Claimloader (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

Uma técnica semelhante foi relatada anteriormente pelo grupo do NCC.

Em novembro de 2022, o LAC relatou uma variante do Claimloader provavelmente visando organizações do governo nas Filipinas em uma cadeia de infecção quase exatamente igual à atividade em 2023-2024 detalhada nas seções anteriores. A variante armazena sua carga como blocos de 32 bytes de strings de stack criptografadas, antes de descriptografar cada uma delas. Ele também copia o executável legítimo e a DLL do Claimloader para um novo diretório antes de tentar estabelecer persistência por meio do registro ou de tarefas agendadas, tornando-o efetivamente um instalador além de um carregador.

Após a execução, o malware começa criando um mutex permanente para garantir que apenas uma única instância do Claimloader esteja em execução. Em seguida, ele verifica se há um argumento de linha de comando específico, que não está presente na primeira execução. Se for esse o caso, o Claimloader copiará o EXE e a DLL em um novo diretório discreto, geralmente em "C:\ProgramData\", imitando um diretório de software como:

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

Esse comportamento é usado pela maioria das amostras mais recentes do Claimloader e também pode levar a execuções malsucedidas de áreas de testes. 

Em seguida, o malware estabelece persistência no login armazenando o caminho do EXE com o argumento correto de linha de comando em uma nova chave de registro novamente com um nome de software discreto em:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

O Claimloader também utiliza um mecanismo de persistência secundário, criando o seguinte processo para criar uma tarefa agendada, que executará o carregador a cada 5 minutos:

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

Observe que as técnicas exatas podem divergir; um exemplo, por exemplo, utilizou objetos COM em vez de agendar a tarefa conectando-se à interface ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

Os algoritmos de descriptografia do Claimloader variaram em amostras entre DES (versão mais recente), pelo menos duas implementações de rotinas de criptografia baseadas em AES e XOR, usando uma seed codificada fixamente para gerar um fluxo de chaves via a função _srand():

Descriptografia AES 128 ECB do Claimloader
Fig. 2: descriptografia AES 128 ECB do Claimloader (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
Claimloader usando uma soma de verificação e _srand() semeado para gerar um fluxo de chaves durante a descriptografia
Fig. 3: Claimloader usando uma soma de verificação e _srand() semeado para gerar um fluxo de chaves durante a descriptografia (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

Para executar suas cargas após a descriptografia, a maioria das variantes do Claimloader utiliza APIs com funções de retorno de chamada, mas também existem variantes que criam um novo encadeamento ou chamam diretamente a carga útil como uma função.

Veja abaixo uma tabela de diferentes amostras do Claimloader e suas técnicas:

Amostra de SHA256

Nome da DLL

Persistência

 Descriptografia

 Técnica de execução

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

Registry and scheduled
task "Amind
PDF"

 _srand() keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll

Registro e tarefa agendada
via COM
"Fhbemb Update"

 AES

Chamada direta

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

Nenhum

 AES, com carga armazenada em strings de stack

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

Registro e tarefa agendada " jxbrowser-chromiumim "

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

Registro e tarefa agendada " jxbrowser-chromiumim "

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

Registro e tarefa agendada "Grupo
Wargaming"

 _srand() keystream

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

Registro e tarefa agendada "NVIDIA_
GPU_Core"

 DES

EnumFontsW

Várias amostras recentes adicionaram suporte para exibir um PDF falso durante a primeira execução do Claimloader.

Claimloader abrindo um PDF de "isca" durante a execução e removendo seus atributos de arquivo
Fig. 4: Claimloader abrindo um PDF de "isca" durante a execução e removendo seus atributos de arquivo

Depois de abrir o arquivo PDF para o usuário, o Claimloader remove os atributos do arquivo "System" e "Hidden" para tornar o PDF permanentemente visível para o usuário na pasta aberta. 

A variante mais recente do Claimloader no momento da publicação usa nomes ofuscados de APIs e DLLs, que são criptografados com XOR com 0x99. Durante a execução, o carregador descriptografa as strings e chama LdrLoadDll e LdrGetProcedureAddress para resolver os ponteiros de função para as APIs necessárias.

Claimloader resolvendo nomes de APIs criptografados com XOR
Fig. 5: Claimloader resolvendo nomes de APIs criptografados com XOR

Toneshell

Ambas as vulnerabilidades das DLLs do Claimloader associadas às iscas do Mar da China Meridional carregam o mesmo backdoor Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) que o shellcode, que é um PE válido ao mesmo tempo. 

Shellcode do carregador no cabeçalho do DOS do backdoor do ToneShell
Fig. 6: shellcode do carregador no cabeçalho do DOS do backdoor do Toneshell

O cabeçalho do DOS foi modificado para incluir um pequeno stub para chamar outra função no deslocamento 0x4200, enquanto fornece o endereço base do PE como argumento. Essa função do carregador carrega manualmente o PE, resolvendo as importações necessárias e mapeando as seções na memória. Essa técnica permite que os desenvolvedores de malware convertam um PE válido em pós-compilação de shellcode. 

A família Toneshell compreende um grande arsenal de diferentes variantes e evoluiu significativamente ao longo do tempo. Embora compartilhe sobreposições de código fortes com o backdoor do Pubload, ela é rastreada separadamente pelo X-Force. As variantes podem diferir em mecanismos C2, protocolos C2 personalizados, comandos compatíveis e hashes de API. O X-Force também agrupa várias versões de um framework de worm USB chamado "Tonedisk", na família Toneshell. 

O backdoor Toneshell da campanha acima é uma variante comparativamente simples e foi projetada para estabelecer um shell reverso por meio de seu servidor C2. 

Ele começa resolvendo suas APIs e criando uma nova GUID via CoCreateGuid. Os 16 bytes resultantes são usados como um identificador de vítima exclusivo e escritos em um novo arquivo:

c:\\users\\public\\description.ini

Em seguida, cria um novo evento "Fool87012900137", que usa como um mutex para garantir que seja a única instância em execução. O Toneshell inicializa sua estrutura principal com o endereço do servidor C2 (45[.]136[.]254[.]193:443), a GUID e o nome do computador da vítima, entre outros valores de configuração. Ele também inicializa uma implementação do PRNG "rand" da Microsoft.

Para cada beacon que consulta o servidor C2 em busca de comandos, o Toneshell gera a próxima chave de 256 bytes a partir do PRNG, que é usada para criptografar a comunicação C2, a GUID e o nome do computador.

Função Toneshell para gerar a chave C2 e criptografar a GUID e o nome do computador
Fig. 7: função Toneshell para gerar a chave C2 e criptografar a GUID e o nome do computador

Os beacons TCP contêm os seguintes valores formatados com um cabeçalho que imita um pacote de dados de aplicação TLS (17 03 03):

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

O Toneshell espera uma resposta semelhante do servidor:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Após descriptografar a resposta, o primeiro byte é analisado como um valor de comando, o segundo byte é usado como um identificador para pipes criados e o restante como a carga do comando.

Antes de manipular o comando, o Toneshell cria um novo thread, que envia beacons de resposta semelhantes a batimentos a cada 30 segundos. Cada beacon também deve enviar o byte mais baixo correto dos próximos 4 bytes gerados pelo fluxo de chaves PRNG inicializado para verificar a integridade da comunicação com o servidor C2. Esses beacons são formatados da seguinte forma:

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

Esta versão do Toneshell é compatível com os seguintes códigos de comando C2:

Código

Descrição

1

Wait - continuará esperando por comandos com uma carga não vazia.

2

Crie um novo arquivo (exclua se já existir)

3

Grave dados no arquivo

4

Escreva dados no arquivo e confirme via beacon de resposta

5

Criar shell reverso via pipes

6

Escrever comando shell para o pipe

7

Encerrar shell reverso

Para criar um shell reverso, o Toneshell configura dois pipes anônimos e cria um novo processo cmd.exe usando os pipes para gravar dados em stdin e ler dados de stdout e stderr. 

Toneshell usando pipes anônimos para criar um shell reverso
Fig. 8: Toneshell usando pipes anônimos para criar um shell reverso

Ao adicionar os manipuladores aos pipes na estrutura STARTUPINFO do novo processo, o Toneshell pode executar comandos arbitrários simplesmente escrevendo no pipe. Em um novo thread, o Toneshell examina o pipe para uma nova saída usando PeekNamedPipe a cada 100 ms. Todos os novos dados são lidos do pipe e retransmitidos de volta para o servidor C2.

Atividade do início de 2025

Em fevereiro de 2025, o X-Force observou uma campanha Hive0154 entregando a backdoor do Pubload por meio de variantes semelhantes do Claimloader conforme descrito acima. As quatro amostras abaixo compartilham o mesmo servidor C2 218[.]255[.]96[.]245:443

Nome da isca

País do remetente

Nome da DLL do Claimloader

Mutex do Claimloader

DLL SHA256

Data

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 Paquistão

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 12 de fevereiro de 2025

Desconhecido

 Hong Kong

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11 de março de 2025

(The_
Military_
Balance_
2025)-Page-
A.zip

 Filipinas

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 20 de março de 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 Estados Unidos

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17 de abril de 2025

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 Filipinas

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29 de abril de 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 Desconhecido (provavelmente Taiwan)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 7 de maio de 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 Taiwan

 helper_
core.dll

 

 Desconhecido

Desconhecido

 8 de maio de 2025

Invitation letter
for the
com
Workshop
- AMB.exe

 Desconhecido

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9 de maio de 2025

No caso do arquivo LNK acima, ele executa o executável renomeado legítimo para iniciar o sideloading da DLL do Claimloader:

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

Um dos arquivos ZIP armamentizados continha um executável legítimo renomeado como “BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe”. A isca é provavelmente uma referência ao Exército de Libertação de Baluch (BLA), um grupo radical separatista, e outros grupos combatentes associados que defendem o estabelecimento de uma nova nação, o Baluchistão.  O uso desses nomes na isca provavelmente é o esforço de um invasor para deixar os destinatários interessados a clicar no anexo.

Outro arquivo, "NSC_Meeting_Minutes_Apr2025.lnk", pode se referir a uma reunião do National Security Council dos EUA e supostas anotações feitas, que seriam de interesse para indivíduos do governo dos EUA ou outros indivíduos envolvidos em inteligência, o meio acadêmico ou jornalismo envolvendo assuntos governamentais dos EUA. Como na isca "BLA", que pode ter como alvo funcionários paquistaneses, essa isca pode ser voltada para a audiência dos EUA com um nome de arquivo cativo para motivar os destinatários a clicar no anexo.

Um nome de arquivo, "Convite para a Reunião Interagências para a 46ª Conferência da ASEAN.exe", pode se referir a uma próxima cúpula da Associação de Nações do Sudeste Asiático (ASEAN), em 26 e 27 de maio de 2025, na Malásia.

O nome do arquivo, "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe", pode se referir à fatura de pagamento da usina de Fongde em Taiwan por volta de abril/maio de 2015.

O último arquivo, “英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe”, pode se referir a um falso contrato de não divulgação entre duas empresas aeroespaciais de Taiwan relacionado a veículos aéreos não tripulados (UAV) e manutenção de aeronaves.

Pubload

O Pubload é um backdoor descrito pela primeira vez pelo Cisco Talos em 2022 como um stager sem nome. Observe que o X-Force identifica o carregador para o shellcode como Claimloader e o downloader do shellcode de primeiro estágio como Pubload, enquanto o relatório da TrendMicro identifica ambos como Pubload. O Claimloader foi usado para carregar o Pubload e o Toneshell. A Team T5 rastreia o Pubload e o PubShell como NoFive.

A carga do shellcode Pubload começa com o XOR descriptografando o resto do seu shellcode usando uma chave XOR de 32 bytes:

Publicar rotina de autodescriptografia do shellcode
Fig. 9: rotina de autodescriptografia do shellcode do Pubload

Essa rotina de descriptografia automática só foi adicionada a partir da segunda das quatro amostras do Claimloader acima. Após a descriptografia, ele passa a resolver todas as suas APIs necessárias, ofuscadas por meio do algoritmo ROR13. Em seguida, aloca nova memória e configura sua estrutura principal com um endereço de servidor C2 codificado e uma chave de criptografia, antes de iniciar seu comportamento principal.

O loop principal do Pubload começa enumerando os seguintes valores:

  • O número de série do volume de disco da unidade C, por meio de GetVolumeInformationA. Ofuscado pela adição de 0x12345678, usado como ID da vítima
  • Contagem de escala da máquina via GetTickCount
  • O nome do computador da vítima via GetComputerNameA
  • O nome de usuário da vítima via GetUserNameA

Esses valores são formatados como a primeira carga do beacon:

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

A carga é criptografada usando a chave codificada em quatro loops XOR consecutivos com diferentes deslocamentos de chave:

loops de criptografia XOR consecutivos do Pubload
Fig. 10: loops de criptografia XOR consecutivos do Pubload

Semelhante ao Toneshell, a carga criptografada é colocada em um pacote de dados de aplicação TLS falso:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

O pacote TCP é enviado ao seu servidor C2 codificado em

218[.]255[.]96[.]245:443

Em troca, o Pubload espera uma resposta analisada como

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Após a descriptografia bem-sucedida da carga, espera-se que o primeiro byte seja 0x06, enquanto o restante dos dados é analisado conforme a estrutura abaixo para descriptografar com XOR a carga do shellcode recebida:

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

Por fim, o Pubload adiciona a opção necessária de proteção de memória PAGE_EXECUTE_READWRITE e executa o shellcode, enquanto fornece as informações enumeradas do sistema e o servidor C2 como argumentos. 

Segundo estágio do Pubload: Pubshell

A carga do shellcode (Pubshell) baixado imediatamente pelo Pubload exibe várias semelhanças com a variante Toneshell discutida acima e tem a mesma funcionalidade: criar um shell reverso por meio de pipes.

Ele começa com o procedimento usual de configuração, resolvendo APIs, alocando memória e inicializando sua estrutura principal e a mesma chave que sua amostra do Pubload pai. 

O primeiro beacon é como o do Pubload, exceto pelo primeiro byte da carga (código do beacon), que é 0x0B.

Função Pubload/Pubshell para criar um beacon
Fig. 11: função Pubload/Pubshell para criar um beacon

Novamente, o primeiro byte da resposta descriptografada atua como um código de comando para determinar o comportamento do Pubshell:

Código de comando

Descrição

1

Redefina a ID da vítima para o número de série ofuscado inicial

3

Defina uma nova ID da vítima

4

Definir a frequência do beacon em segundos (o valor inicial é 10s)

5

Parar o beaconing

26

Excluir arquivo

27

Criar novo arquivo

29

Escrever dados em um arquivo recém-criado

30

Criar shell reverso via pipes

31

Escreva um novo comando para o pipe.

32

Encerre o shell reverso e feche todos os manuseios e processos associados

48

Ler o resultado do comando (stdin, stderr) do pipe

Assim como o Toneshell, o Pubshell envia de volta códigos de resposta diferentes para o seu servidor C2, dependendo do resultado de um comando. Por exemplo, tanto os comandos para criar um novo arquivo (27) quanto para escrever nesse arquivo (29) retornarão o código 42 em caso de sucesso e 43 em caso de falha. Além disso, o Pubshell também inclui strings de mensagens de erro mais detalhadas, como:

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

Strings semelhantes também foram observadas em outras variantes do Toneshell.

A implementação do Pubshell do shell reverso por meio de pipes anônimos é quase idêntica à do Toneshell. No entanto, em vez de executar um novo encadeamento para retornar imediatamente quaisquer resultados, o Pubshell exige um comando adicional para retornar os resultados do comando. Também é compatível apenas com a execução de "cmd.exe" como um shell.

De várias maneiras, o Pubload e o Pubshell parecem ser uma "versão Lite" desenvolvida independentemente do Toneshell, com menos sofisticação e sobreposições de código claras.

Visando Taiwan com o worm HIUPAN USB

Em dezembro de 2024, o X-Force observou atividade adicional do Hive0154 direcionada a Taiwan com o backdoor do Pubload. Em março, a X-Force se associou a uma grande empresa de fabricação para investigar uma infecção do Pubload em Taiwan. No incidente, os agentes de ameaças usaram o worm HIUPAN USB para espalhar o Claimloader e o Pubload por meio de dispositivos USB. O worm é provavelmente usado como uma carga de acompanhamento nas infecções iniciais do Pubload para aumentar o número de infecções e potencialmente alcançar redes que podem estar isoladas. A relação de ambas as variantes de malware foi documentada anteriormente pela Trend Micro. 

HIUPAN (também conhecido como U2DiskWatch) é um worm USB, cuja DLL principal “u2ec.data” é sideloaded por meio de um EXE legítimo “UsbConfig.exe” quando um usuário o executa involuntariamente a partir de um dispositivo USB. O worm realiza as seguintes tarefas:

  • Copia a si mesmo e aos componentes de malware que o acompanham em um diretório na máquina da vítima: C:\ProgramData\Intel\_\
  • Estabelece persistência via a chave de registro HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Run
  • Modifica as chaves de registro para garantir que arquivos ocultos e extensões não fiquem visíveis no Windows Explorer: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Executa o principal executável do malware que o acompanha e monitora o processo para reiniciar, se necessário
  • Monitora novas conexões de dispositivos USB. Se encontrado, o HIUPAN copia a si mesmo e os componentes de malware que o acompanham para a nova unidade em um subdiretório oculto "<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_ \_\_\” e oculta quaisquer outros arquivos existentes para garantir que “UsbConfig.exe" seja o único arquivo visível no dispositivo

O HIUPAN usa um arquivo de configuração "$.ini" para armazenar um multiplicador de sono e os nomes de arquivo de seus componentes e o malware que o acompanha. Isso torna extremamente fácil configurar o worm para espalhar qualquer malware, simplesmente trocando arquivos de carga e a configuração baseada em texto.

O arquivo de configuração observado em infecções baseadas em Taiwan que espalham o Claimloader e Pubload é exibido abaixo:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

Código de comando

Descrição

1

Redefina a ID da vítima para o número de série ofuscado inicial

3

Defina uma nova ID da vítima

4

Definir a frequência do beacon em segundos (o valor inicial é 10s)

5

Parar o beaconing

26

Excluir arquivo

27

Criar novo arquivo

29

Escrever dados em um arquivo recém-criado

30

Criar shell reverso via pipes

31

Escreva um novo comando para o pipe.

32

Encerre o shell reverso e feche todos os manuseios e processos associados

48

Ler o resultado do comando (stdin, stderr) do pipe

O HIUPAN não é o único worm USB usado pelo Hive0154. Vários outros frameworks e variantes que distribuem malware, como Toneshell e Pubshell, ainda estão se espalhando ativamente e são carregados regularmente no VirusTotal.

Conclusão

O extenso escopo operacional do Hive0154 discutido neste blog fica evidente por meio da utilização de diversas ferramentas, técnicas inovadoras e uma ampla gama de vítimas em potencial. Grupos alinhados à China como o Hive0154 continuarão a refinar seu grande arsenal de malware e manterão o foco nas organizações baseadas no Leste Asiático nos setores privado e público. Sua ampla gama de ferramentas, ciclos de desenvolvimento frequentes e distribuição de malware baseado em worms USB os destaca como um agente de ameaças sofisticado. As entidades em risco de atividade do Hive0154 devem permanecer em um estado mais elevado de segurança defensiva e vigilantes em relação às técnicas mencionadas neste relatório.

Recomendações

  • Monitorar e buscar pacotes de dados de aplicações TLS 1.2 em redes (cabeçalho: 17 03 03) sem um handshake de TLS anterior como sinal de um beacon de Pubload ou Toneshell
  • Monitorar e buscar redes em busca de pacotes falsos de dados de aplicações TLS 1.3 (cabeçalho: 17 03 04), que são usados por algumas variantes do Toneshell. Os pacotes TLS 1.3 reais são enviados com cabeçalhos TLS 1.2 legados para compatibilidade retroativa com proxies que aceitam apenas determinadas versões do TLS.
  • Monitore e busque unidades USB que contenham nomes executáveis suspeitos, DLLs e diretórios ocultos que possam indicar um dispositivo infectado com um worm USB
  • Monitore e busque diretórios suspeitos e desconhecidos em C:\ProgramData\ que contenham um EXE legítimo vulnerável ao sideloading da DLL e uma DLL correspondente
  • Monitorar e buscar técnicas de persistência, como a chave Run do registro e tarefas agendadas
  • Monitore qualquer atividade incomum de rede, persistência ou modificação de arquivos proveniente de executáveis de processos aparentemente benignos que faça o sideload uma DLL maliciosa

Indicadores de comprometimento

Indicador

Tipo de indicador

Contexto

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Arquivo armamentizado do Hive0154

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Arquivo armamentizado do Hive0154

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Arquivo armamentizado do Hive0154

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

SFX armamentizado do Hive0154

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Arquivo armamentizado do Hive0154

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Arquivo armamentizado do Hive0154

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Arquivo armamentizado do Hive0154

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Arquivo armamentizado do Hive0154

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Arquivo armamentizado do Hive0154

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Arquivo armamentizado do Hive0154

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Arquivo armamentizado do Hive0154

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Arquivo armamentizado do Hive0154

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Arquivo armamentizado do Hive0154

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Arquivo armamentizado do Hive0154

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
acbb09c9050c4

SHA256

Arquivo armamentizado do Hive0154

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
a752ba3c3fd

SHA256

Arquivo armamentizado do Hive0154

cc4e5d175fc85685e7f31c2e7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Arquivo armamentizado do Hive0154

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Arquivo armamentizado do Hive0154

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Arquivo armamentizado do Hive0154

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Arquivo armamentizado do Hive0154

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Arquivo armamentizado do Hive0154

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Arquivo armamentizado do Hive0154

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
a6cab1ef5af

SHA256

Arquivo armamentizado do Hive0154

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Arquivo armamentizado do Hive0154

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Arquivo armamentizado do Hive0154

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Arquivo armamentizado do Hive0154

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Amostra inicial do Claimloader

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

DLL do Claimloader

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

DLL do Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL do Claimloader

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

DLL do Claimloader

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

DLL do Claimloader

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

DLL do Claimloader

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

DLL do Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL do Claimloader

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

DLL do Claimloader

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

DLL do Claimloader

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

DLL do Claimloader

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

DLL do Claimloader

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

DLL do Claimloader

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
f71ed8ec

 

SHA256

 

DLL do Claimloader

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

DLL do Claimloader

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68ddf1023b

SHA256

Backdoor do Toneshell

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

Backdoor do Toneshell

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

Backdoor do Toneshell

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
cd3f0666ead

SHA256

Backdoor do Pubload

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Backdoor do Pubload

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Backdoor do Pubshell

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

Worm HIUPAN USB

f5fd2905d90755d021e1442c34f
a628d56598ae1043a7c1103bd5
e21c7706168

SHA256

Worm HIUPAN USB

45[.]136[.]254[.]193:443

Endereço IP, porta

Servidor C2 do Toneshell

45[.]144[.]165[.]66

Endereço IP, porta

Servidor C2 do Toneshell

218[.]255[.]96[.]245:443

Endereço IP, porta

Servidor C2 do Pubload

103[.]27[.]202[.]132

Endereço IP, porta

Servidor C2 do Toneshell

45[.]12[.]91[.]223:443

Endereço IP, porta

Servidor C2 do Pubload

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e muito mais. Acesse insights sobre agentes de ameaças, malware e riscos dos setores. Instale o OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Fique à frente —integre hoje mesmo!

