A partir de maio de 2025, o IBM X-Force está rastreando uma suspeita campanha de espionagem usando arquivos ZIP armamentizados para distribuir backdoors Pubload e Toneshell. O X-Force atribui essa campanha, que provavelmente começou no final de 2024, ao agente da ameaça alinhado à China Hive0154, cujas operações se sobrepõem a grupos rastreados como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris e Earth Preta. Os arquivos contêm iscas com temas políticos, provavelmente destinadas a atrair funcionários do governo, militares e diplomatas das Filipinas, dos Estados Unidos e do Paquistão. Os subclusters Hive0154 usaram táticas semelhantes no passado. Especificamente, eles usaram o malware Claimloader para instalar backdoors persistentes, facilitando o acesso direto aos ambientes das vítimas, para obter insights avançados sobre as decisões emergentes dos governos mundiais. O X-Force também observou o grupo empregando um worm USB para espalhar o Pubload em Taiwan, potencialmente alcançando redes que podem estar isoladas.
Desde pelo menos 2022, o Hive0154 usou a família de malware Toneshell, entre outras, para realizar operações cibernéticas em todo o mundo. Malware relacionados ao Toneshell, como o Pubload e o Pubshell (também conhecido como NoFive), indicam que o grupo mantém malware separados como parte de suas operações. O grupo consiste em vários subclusters e tem como alvo organizações públicas e privadas, incluindo think tanks, grupos de políticas, agências governamentais e indivíduos. O X-Force avalia que esse agente da ameaça é uma ameaça capaz, como evidenciado pelo uso de vários carregadores de malware independentes, backdoor e famílias de worms USB, além de relatórios consistentes de sua atividade por várias equipes de pesquisa de segurança.
Em 2023, a Palo Alto relatou que um dos subclusters Hive0154 que o X-Force rastreia estava usando várias iscas para espalhar a backdoor do Pubload. Algumas das iscas abaixo também coincidem com uma campanha contra Mianmar, conforme relatado pela CSIRT CTI em janeiro de 2024. As ameaças abaixo mostram o interesse contínuo da China nos países do Sudeste Asiático e na Austrália.
Nome da isca
Descrição
SHA256
Data
Notice re UEC, (04-25-2023 Day).zip
Desconhecido
167a842b97d0
Abril de 2023
April 27 updated party list.zip
Desconhecido
41276827827b9
Abril de 2023
Biography of Senator the Hon Don Farrell.zip
O nome do arquivo parece ser uma cópia direta do título que aparece no site do Comércio e Turismo da Austrália sobre o ministro do Comércio australiano.
4fbfbf1cd2efaef1
Abril de 2023
A SAC tem alguns requisitos de instrução para as eleições gerais
Desconhecido
782e074601f5b1
Abril de 2023
National Security Priority Programs.zip
Desconhecido
a02766b3950dbb
Maio de 2023
230605 Ministerial meeting minutes (1).zip
O arquivo pode ser uma referência à declaração que ocorreu em Paris em 8 de junho de 2023 por ministros da Austrália, Canadá, Japão, Estados Unidos, Reino Unido e Nova Zelândia sobre práticas comerciais abusivas relacionadas à região Ásia-Pacífico.
178e92c59afe4c
Junho de 2023
NUG's Foreign Policy Strategy.zip
A declaração aparece nesta página da CSIS Indonésia, referente a uma situação em curso em Mianmar, país mergulhado em uma guerra civil, com relatos sugerindo que a China estaria considerando enviar pessoal de segurança para apoiar o governo da junta militar de Mianmar, segundo informações de dezembro de 2024.
ba7c456f229adc
Agosto de 2023
Analysis of the third meeting of NDSC.zip
O arquivo pode ter sido parte de uma campanha anteriormente relatada contra o governo de Mianmar pela Stately Taurus no início de 2024. Por volta de outubro de 2023, Mianmar se envolveu em uma guerra civil entre uma fação rebelde e as forças do governo, onde as forças revolucionárias tomaram efetivamente o controle de uma rota comercial importante para a China.
4e8717c9812318f8
Novembro de 2023
Os arquivos ZIP armamentizados geralmente contêm um executável legítimo renomeado, como SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), que é usado para fazer o sideload de uma DLL mal-intencionada. A DLL faz parte da família Claimloader, que é composta por diferentes variantes de carregador de shellcode usadas pelo Hive0154 ao longo dos anos para carregar cargas associadas às famílias de backdoor Pubload e Toneshell.
Ao longo de 2024, foram registradas mais atividades do Hive0154, algumas das quais foram relatadas por FatzQuatz., o StrikeReadyLabs Conta do Twitter/X e Hunt.io:
Nome da isca
Descrição
SHA256
Data
Meeting Request--30-31-05.zip
Desconhecido
09597c284
Maio de 2024
EBO Brainstorming Friday 24 to
Desconhecido
78a60bea56
Maio de 2024
Attendee list template (24-6-2024).zip
Desconhecido
b7d13787c8be
Junho de 2024
Notice of Final Meeting.zip
Desconhecido
fef713b23717
Julho de 2024
a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Desconhecido
727ccc4560
Julho de 2024
Interview with Surachet
Desconhecido
f00e5ff2dc47
Agosto de 2024
IISS Prague Defence Summit 2024.zip
Campanha Mustang Panda relatada anteriormente visando participantes do IISS Defense Summit em Praga, em novembro de 2024.
1387ec22a339
Agosto de 2024
NDI-IRI_Election_
O nome do arquivo parece fazer referência ao relatório NDI-IRI publicado em junho de 2023 sobre eleições na Nigéria. O relatório foi encomendado com o apoio da US Agency for International Development (USAID).
ac989df2715a
Agosto de 2024
leadership information list.zip
Desconhecido
3a37a127a4253
Agosto de 2024
Request for Inputs for the 6th
A atração provavelmente se refere à reunião bilateral entre a Tailândia e as Filipinas que ocorreu em outubro de 2024.
057fd248e0219
Setembro de 2024
Bencana_Air_
O documento de isca parece ser da Agência Nacional de Gerenciamento de Desastres da Malásia (NADMA, Agenteni Pengurusan Bencana Negara) e suas respostas contínuas à Covid-19 na Malásia.
cc4e5d175fc85685
outubro de 2024
A técnica de sideloading da DLL dentro dos ZIPs permanece a mesma, mas diferentes versões do Claimloader DLL foram registradas com alterações no algoritmo de descriptografia. Algumas das campanhas também usaram diretamente uma DLL do Toneshell (0bd114fefd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b).
O X-Force observou várias novas campanhas no final de 2024 e início de 2025 seguindo os mesmos TTPs, que foram atribuídos ao mesmo subcluster Hive0154. As variantes mais recentes do Claimloader também são compatíveis com a abertura de PDFs falsos como parte da rotina de instalação, antes de injetar suas cargas do shellcode. Os PDFs, assim como as DLLs, usam atributos de arquivo para permanecerem ocultos para um usuário padrão.
Duas iscas e seus respectivos nomes de arquivo de chamariz mencionam especificamente as tensões no Mar da China Meridional entre a China e as Filipinas, com o governo filipino defendendo uma estreita cooperação militar. com os Estados Unidos, tendo em vista as crescentes atividades militares chinesas. Esses acontecimentos provavelmente aumentarão o interesse dos destinatários, que podem estar mais inclinados a abrir o anexo. Esses destinatários podem incluir o governo das Filipinas, pessoal militar e diplomata, e também podem envolver o governo e pessoal militar dos EUA cujo serviço possa garantir o envolvimento no tópico apresentado pelos nomes dos arquivos.
Nome da isca
Nome do arquivo isca
DLL SHA256 associada
Data
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
outubro de 2024
Defense_
2025.pdf
a6dfb41bbad08e3f
Novembro de 2024
Ambos induzem o sideload de uma DLL do Claimloader, que carrega o mesmo backdoor Toneshell detalhado mais abaixo.
Claimloader é uma família de carregadores usados pelo Hive0154 no passado para carregar várias cargas do shellcode, incluindo Toneshell e Pubload. Ao longo dos anos, ele evoluiu para várias versões diferentes com funcionalidades variadas.
Uma das primeiras amostras, compilada no final de 2021, foi publicada pela Unit 42 da Palo Alto. Ele usa uma técnica interessante, copiando o shellcode em um buffer por meio da API UuidfromStringA. Além disso, ele executa o shellcode como uma função de retorno de chamada passada para EnumSystemLanguageGroupsA.
Uma técnica semelhante foi relatada anteriormente pelo grupo do NCC.
Em novembro de 2022, o LAC relatou uma variante do Claimloader provavelmente visando organizações do governo nas Filipinas em uma cadeia de infecção quase exatamente igual à atividade em 2023-2024 detalhada nas seções anteriores. A variante armazena sua carga como blocos de 32 bytes de strings de stack criptografadas, antes de descriptografar cada uma delas. Ele também copia o executável legítimo e a DLL do Claimloader para um novo diretório antes de tentar estabelecer persistência por meio do registro ou de tarefas agendadas, tornando-o efetivamente um instalador além de um carregador.
Após a execução, o malware começa criando um mutex permanente para garantir que apenas uma única instância do Claimloader esteja em execução. Em seguida, ele verifica se há um argumento de linha de comando específico, que não está presente na primeira execução. Se for esse o caso, o Claimloader copiará o EXE e a DLL em um novo diretório discreto, geralmente em "C:\ProgramData\", imitando um diretório de software como:
Esse comportamento é usado pela maioria das amostras mais recentes do Claimloader e também pode levar a execuções malsucedidas de áreas de testes.
Em seguida, o malware estabelece persistência no login armazenando o caminho do EXE com o argumento correto de linha de comando em uma nova chave de registro novamente com um nome de software discreto em:
O Claimloader também utiliza um mecanismo de persistência secundário, criando o seguinte processo para criar uma tarefa agendada, que executará o carregador a cada 5 minutos:
Observe que as técnicas exatas podem divergir; um exemplo, por exemplo, utilizou objetos COM em vez de agendar a tarefa conectando-se à interface ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
Os algoritmos de descriptografia do Claimloader variaram em amostras entre DES (versão mais recente), pelo menos duas implementações de rotinas de criptografia baseadas em AES e XOR, usando uma seed codificada fixamente para gerar um fluxo de chaves via a função _srand():
Para executar suas cargas após a descriptografia, a maioria das variantes do Claimloader utiliza APIs com funções de retorno de chamada, mas também existem variantes que criam um novo encadeamento ou chamam diretamente a carga útil como uma função.
Veja abaixo uma tabela de diferentes amostras do Claimloader e suas técnicas:
Amostra de SHA256
Nome da DLL
Persistência
Descriptografia
Técnica de execução
3af7807efb105
Amind
Registry and scheduled
_srand() keystream
EnumPropsExW
8957c8de9032
libemb
Registro e tarefa agendada
AES
Chamada direta
d665f55555f87
CCleaner
Nenhum
AES, com carga armazenada em strings de stack
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
Registro e tarefa agendada " jxbrowser-chromiumim "
AES
EnumFontsW
a6dfb41bbad08
jx
Registro e tarefa agendada " jxbrowser-chromiumim "
AES
EnumFontsW
900af2b8d03b4
helper_
Registro e tarefa agendada "Grupo
_srand() keystream
EnumFontsW
4c66e7ebf2ca2e
helper_
Registro e tarefa agendada "NVIDIA_
DES
EnumFontsW
Várias amostras recentes adicionaram suporte para exibir um PDF falso durante a primeira execução do Claimloader.
Depois de abrir o arquivo PDF para o usuário, o Claimloader remove os atributos do arquivo "System" e "Hidden" para tornar o PDF permanentemente visível para o usuário na pasta aberta.
A variante mais recente do Claimloader no momento da publicação usa nomes ofuscados de APIs e DLLs, que são criptografados com XOR com 0x99. Durante a execução, o carregador descriptografa as strings e chama LdrLoadDll e LdrGetProcedureAddress para resolver os ponteiros de função para as APIs necessárias.
Ambas as vulnerabilidades das DLLs do Claimloader associadas às iscas do Mar da China Meridional carregam o mesmo backdoor Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) que o shellcode, que é um PE válido ao mesmo tempo.
O cabeçalho do DOS foi modificado para incluir um pequeno stub para chamar outra função no deslocamento 0x4200, enquanto fornece o endereço base do PE como argumento. Essa função do carregador carrega manualmente o PE, resolvendo as importações necessárias e mapeando as seções na memória. Essa técnica permite que os desenvolvedores de malware convertam um PE válido em pós-compilação de shellcode.
A família Toneshell compreende um grande arsenal de diferentes variantes e evoluiu significativamente ao longo do tempo. Embora compartilhe sobreposições de código fortes com o backdoor do Pubload, ela é rastreada separadamente pelo X-Force. As variantes podem diferir em mecanismos C2, protocolos C2 personalizados, comandos compatíveis e hashes de API. O X-Force também agrupa várias versões de um framework de worm USB chamado "Tonedisk", na família Toneshell.
O backdoor Toneshell da campanha acima é uma variante comparativamente simples e foi projetada para estabelecer um shell reverso por meio de seu servidor C2.
Ele começa resolvendo suas APIs e criando uma nova GUID via CoCreateGuid. Os 16 bytes resultantes são usados como um identificador de vítima exclusivo e escritos em um novo arquivo:
Em seguida, cria um novo evento "Fool87012900137", que usa como um mutex para garantir que seja a única instância em execução. O Toneshell inicializa sua estrutura principal com o endereço do servidor C2 (45[.]136[.]254[.]193:443), a GUID e o nome do computador da vítima, entre outros valores de configuração. Ele também inicializa uma implementação do PRNG "rand" da Microsoft.
Para cada beacon que consulta o servidor C2 em busca de comandos, o Toneshell gera a próxima chave de 256 bytes a partir do PRNG, que é usada para criptografar a comunicação C2, a GUID e o nome do computador.
Os beacons TCP contêm os seguintes valores formatados com um cabeçalho que imita um pacote de dados de aplicação TLS (17 03 03):
O Toneshell espera uma resposta semelhante do servidor:
Após descriptografar a resposta, o primeiro byte é analisado como um valor de comando, o segundo byte é usado como um identificador para pipes criados e o restante como a carga do comando.
Antes de manipular o comando, o Toneshell cria um novo thread, que envia beacons de resposta semelhantes a batimentos a cada 30 segundos. Cada beacon também deve enviar o byte mais baixo correto dos próximos 4 bytes gerados pelo fluxo de chaves PRNG inicializado para verificar a integridade da comunicação com o servidor C2. Esses beacons são formatados da seguinte forma:
Esta versão do Toneshell é compatível com os seguintes códigos de comando C2:
Código
Descrição
1
Wait - continuará esperando por comandos com uma carga não vazia.
2
Crie um novo arquivo (exclua se já existir)
3
Grave dados no arquivo
4
Escreva dados no arquivo e confirme via beacon de resposta
5
Criar shell reverso via pipes
6
Escrever comando shell para o pipe
7
Encerrar shell reverso
Para criar um shell reverso, o Toneshell configura dois pipes anônimos e cria um novo processo cmd.exe usando os pipes para gravar dados em stdin e ler dados de stdout e stderr.
Ao adicionar os manipuladores aos pipes na estrutura STARTUPINFO do novo processo, o Toneshell pode executar comandos arbitrários simplesmente escrevendo no pipe. Em um novo thread, o Toneshell examina o pipe para uma nova saída usando PeekNamedPipe a cada 100 ms. Todos os novos dados são lidos do pipe e retransmitidos de volta para o servidor C2.
Em fevereiro de 2025, o X-Force observou uma campanha Hive0154 entregando a backdoor do Pubload por meio de variantes semelhantes do Claimloader conforme descrito acima. As quatro amostras abaixo compartilham o mesmo servidor C2 218[.]255[.]96[.]245:443
Nome da isca
País do remetente
Nome da DLL do Claimloader
Mutex do Claimloader
DLL SHA256
Data
BLA,BLF,
Paquistão
SolidPDF
TB2025
c7efd45aa7
12 de fevereiro de 2025
Desconhecido
Hong Kong
SolidPDF
MTM2025
087ccc7f6c02
11 de março de 2025
(The_
Filipinas
chrome_
CATM2025
216188ee52b0
20 de março de 2025
NSC_
Estados Unidos
helper_
GameBox
900af2b8d03b
17 de abril de 2025
Invitation to
Filipinas
helper_
GameGpu
4c66e7ebf2ca2
29 de abril de 2025
豐德電廠
Desconhecido (provavelmente Taiwan)
helper_
GameFind
112118aad0db9ff
7 de maio de 2025
英諾飛保
Taiwan
helper_
Desconhecido
Desconhecido
8 de maio de 2025
Invitation letter
Desconhecido
helper_
GameBox
7476d6b375d8
9 de maio de 2025
No caso do arquivo LNK acima, ele executa o executável renomeado legítimo para iniciar o sideloading da DLL do Claimloader:
Um dos arquivos ZIP armamentizados continha um executável legítimo renomeado como “BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe”. A isca é provavelmente uma referência ao Exército de Libertação de Baluch (BLA), um grupo radical separatista, e outros grupos combatentes associados que defendem o estabelecimento de uma nova nação, o Baluchistão. O uso desses nomes na isca provavelmente é o esforço de um invasor para deixar os destinatários interessados a clicar no anexo.
Outro arquivo, "NSC_Meeting_Minutes_Apr2025.lnk", pode se referir a uma reunião do National Security Council dos EUA e supostas anotações feitas, que seriam de interesse para indivíduos do governo dos EUA ou outros indivíduos envolvidos em inteligência, o meio acadêmico ou jornalismo envolvendo assuntos governamentais dos EUA. Como na isca "BLA", que pode ter como alvo funcionários paquistaneses, essa isca pode ser voltada para a audiência dos EUA com um nome de arquivo cativo para motivar os destinatários a clicar no anexo.
Um nome de arquivo, "Convite para a Reunião Interagências para a 46ª Conferência da ASEAN.exe", pode se referir a uma próxima cúpula da Associação de Nações do Sudeste Asiático (ASEAN), em 26 e 27 de maio de 2025, na Malásia.
O nome do arquivo, "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe", pode se referir à fatura de pagamento da usina de Fongde em Taiwan por volta de abril/maio de 2015.
O último arquivo, “英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe”, pode se referir a um falso contrato de não divulgação entre duas empresas aeroespaciais de Taiwan relacionado a veículos aéreos não tripulados (UAV) e manutenção de aeronaves.
O Pubload é um backdoor descrito pela primeira vez pelo Cisco Talos em 2022 como um stager sem nome. Observe que o X-Force identifica o carregador para o shellcode como Claimloader e o downloader do shellcode de primeiro estágio como Pubload, enquanto o relatório da TrendMicro identifica ambos como Pubload. O Claimloader foi usado para carregar o Pubload e o Toneshell. A Team T5 rastreia o Pubload e o PubShell como NoFive.
A carga do shellcode Pubload começa com o XOR descriptografando o resto do seu shellcode usando uma chave XOR de 32 bytes:
Essa rotina de descriptografia automática só foi adicionada a partir da segunda das quatro amostras do Claimloader acima. Após a descriptografia, ele passa a resolver todas as suas APIs necessárias, ofuscadas por meio do algoritmo ROR13. Em seguida, aloca nova memória e configura sua estrutura principal com um endereço de servidor C2 codificado e uma chave de criptografia, antes de iniciar seu comportamento principal.
O loop principal do Pubload começa enumerando os seguintes valores:
Esses valores são formatados como a primeira carga do beacon:
A carga é criptografada usando a chave codificada em quatro loops XOR consecutivos com diferentes deslocamentos de chave:
Semelhante ao Toneshell, a carga criptografada é colocada em um pacote de dados de aplicação TLS falso:
O pacote TCP é enviado ao seu servidor C2 codificado em
Em troca, o Pubload espera uma resposta analisada como
Após a descriptografia bem-sucedida da carga, espera-se que o primeiro byte seja 0x06, enquanto o restante dos dados é analisado conforme a estrutura abaixo para descriptografar com XOR a carga do shellcode recebida:
Por fim, o Pubload adiciona a opção necessária de proteção de memória PAGE_EXECUTE_READWRITE e executa o shellcode, enquanto fornece as informações enumeradas do sistema e o servidor C2 como argumentos.
A carga do shellcode (Pubshell) baixado imediatamente pelo Pubload exibe várias semelhanças com a variante Toneshell discutida acima e tem a mesma funcionalidade: criar um shell reverso por meio de pipes.
Ele começa com o procedimento usual de configuração, resolvendo APIs, alocando memória e inicializando sua estrutura principal e a mesma chave que sua amostra do Pubload pai.
O primeiro beacon é como o do Pubload, exceto pelo primeiro byte da carga (código do beacon), que é 0x0B.
Novamente, o primeiro byte da resposta descriptografada atua como um código de comando para determinar o comportamento do Pubshell:
Código de comando
Descrição
1
Redefina a ID da vítima para o número de série ofuscado inicial
3
Defina uma nova ID da vítima
4
Definir a frequência do beacon em segundos (o valor inicial é 10s)
5
Parar o beaconing
26
Excluir arquivo
27
Criar novo arquivo
29
Escrever dados em um arquivo recém-criado
30
Criar shell reverso via pipes
31
Escreva um novo comando para o pipe.
32
Encerre o shell reverso e feche todos os manuseios e processos associados
48
Ler o resultado do comando (stdin, stderr) do pipe
Assim como o Toneshell, o Pubshell envia de volta códigos de resposta diferentes para o seu servidor C2, dependendo do resultado de um comando. Por exemplo, tanto os comandos para criar um novo arquivo (27) quanto para escrever nesse arquivo (29) retornarão o código 42 em caso de sucesso e 43 em caso de falha. Além disso, o Pubshell também inclui strings de mensagens de erro mais detalhadas, como:
Strings semelhantes também foram observadas em outras variantes do Toneshell.
A implementação do Pubshell do shell reverso por meio de pipes anônimos é quase idêntica à do Toneshell. No entanto, em vez de executar um novo encadeamento para retornar imediatamente quaisquer resultados, o Pubshell exige um comando adicional para retornar os resultados do comando. Também é compatível apenas com a execução de "cmd.exe" como um shell.
De várias maneiras, o Pubload e o Pubshell parecem ser uma "versão Lite" desenvolvida independentemente do Toneshell, com menos sofisticação e sobreposições de código claras.
Em dezembro de 2024, o X-Force observou atividade adicional do Hive0154 direcionada a Taiwan com o backdoor do Pubload. Em março, a X-Force se associou a uma grande empresa de fabricação para investigar uma infecção do Pubload em Taiwan. No incidente, os agentes de ameaças usaram o worm HIUPAN USB para espalhar o Claimloader e o Pubload por meio de dispositivos USB. O worm é provavelmente usado como uma carga de acompanhamento nas infecções iniciais do Pubload para aumentar o número de infecções e potencialmente alcançar redes que podem estar isoladas. A relação de ambas as variantes de malware foi documentada anteriormente pela Trend Micro.
HIUPAN (também conhecido como U2DiskWatch) é um worm USB, cuja DLL principal “u2ec.data” é sideloaded por meio de um EXE legítimo “UsbConfig.exe” quando um usuário o executa involuntariamente a partir de um dispositivo USB. O worm realiza as seguintes tarefas:
O HIUPAN usa um arquivo de configuração "$.ini" para armazenar um multiplicador de sono e os nomes de arquivo de seus componentes e o malware que o acompanha. Isso torna extremamente fácil configurar o worm para espalhar qualquer malware, simplesmente trocando arquivos de carga e a configuração baseada em texto.
O arquivo de configuração observado em infecções baseadas em Taiwan que espalham o Claimloader e Pubload é exibido abaixo:
Código de comando
Descrição
1
Redefina a ID da vítima para o número de série ofuscado inicial
3
Defina uma nova ID da vítima
4
Definir a frequência do beacon em segundos (o valor inicial é 10s)
5
Parar o beaconing
26
Excluir arquivo
27
Criar novo arquivo
29
Escrever dados em um arquivo recém-criado
30
Criar shell reverso via pipes
31
Escreva um novo comando para o pipe.
32
Encerre o shell reverso e feche todos os manuseios e processos associados
48
Ler o resultado do comando (stdin, stderr) do pipe
O HIUPAN não é o único worm USB usado pelo Hive0154. Vários outros frameworks e variantes que distribuem malware, como Toneshell e Pubshell, ainda estão se espalhando ativamente e são carregados regularmente no VirusTotal.
O extenso escopo operacional do Hive0154 discutido neste blog fica evidente por meio da utilização de diversas ferramentas, técnicas inovadoras e uma ampla gama de vítimas em potencial. Grupos alinhados à China como o Hive0154 continuarão a refinar seu grande arsenal de malware e manterão o foco nas organizações baseadas no Leste Asiático nos setores privado e público. Sua ampla gama de ferramentas, ciclos de desenvolvimento frequentes e distribuição de malware baseado em worms USB os destaca como um agente de ameaças sofisticado. As entidades em risco de atividade do Hive0154 devem permanecer em um estado mais elevado de segurança defensiva e vigilantes em relação às técnicas mencionadas neste relatório.
Indicador
Tipo de indicador
Contexto
167a842b97d0434f20e0
SHA256
Arquivo armamentizado do Hive0154
41276827827b95c9b5a9f
SHA256
Arquivo armamentizado do Hive0154
4fbfbf1cd2efaef1906f0bd2
SHA256
Arquivo armamentizado do Hive0154
782e074601f5b17e045d7c
SHA256
SFX armamentizado do Hive0154
a02766b3950dbb86a1293
SHA256
Arquivo armamentizado do Hive0154
178e92c59afe4c59043657
SHA256
Arquivo armamentizado do Hive0154
ba7c456f229adc4bd75bfb8
SHA256
Arquivo armamentizado do Hive0154
4e8717c9812318f8775a94fc
SHA256
Arquivo armamentizado do Hive0154
09597c2844067d8ee671313
SHA256
Arquivo armamentizado do Hive0154
78a60bea5693138c771386b8
SHA256
Arquivo armamentizado do Hive0154
fef713b237179f4d6bea899687
SHA256
Arquivo armamentizado do Hive0154
727ccc4560fb11627870ff2cac2
SHA256
Arquivo armamentizado do Hive0154
f00e5ff2dc47a7625c86ac8978
SHA256
Arquivo armamentizado do Hive0154
1387ec22a3391647e25d2cb722
SHA256
Arquivo armamentizado do Hive0154
ac989df2715a26df9e039e9e0d
SHA256
Arquivo armamentizado do Hive0154
3a37a127a425360d00588bf652
SHA256
Arquivo armamentizado do Hive0154
cc4e5d175fc85685e7f31c2e7797
SHA256
Arquivo armamentizado do Hive0154
e4a4803cb04b58c07230b1368
SHA256
Arquivo armamentizado do Hive0154
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Arquivo armamentizado do Hive0154
b7d13787c8be72dcc584c516e7
SHA256
Arquivo armamentizado do Hive0154
76cc0fd64a2fc67bc0146f04819
SHA256
Arquivo armamentizado do Hive0154
c49c686c26845b9ef0913642ca
SHA256
Arquivo armamentizado do Hive0154
b8865a77cb8f0706b50d4d85bf
SHA256
Arquivo armamentizado do Hive0154
98c1527d4b064fcf4a95488c345
SHA256
Arquivo armamentizado do Hive0154
6f5c50f37b6753366066c65b3e
SHA256
Arquivo armamentizado do Hive0154
d99e33878e23582308b1e217aff
SHA256
Arquivo armamentizado do Hive0154
cf61b7a9bdde2a39156d88f309f
SHA256
Amostra inicial do Claimloader
93fb8b78d65a9ef790be6d2055
SHA256
DLL do Claimloader
895b8e0c1d2e4cae16508ded50
SHA256
DLL do Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL do Claimloader
3af7807efb10525196c562c1f91d2
SHA256
DLL do Claimloader
8957c8de9032b347ee1a15abbae
SHA256
DLL do Claimloader
d665f55555f87b515cb8ef1adce9
SHA256
DLL do Claimloader
c7efd45aa7dd1ecd05571f15d83e
SHA256
DLL do Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL do Claimloader
8f4ee5e0b85020f2a040f54dccd
SHA256
DLL do Claimloader
087ccc7f6c022dc5fd40ade3ef6a
SHA256
DLL do Claimloader
216188ee52b067f761bdf3c45663
SHA256
DLL do Claimloader
900af2b8d03b40cdb027126d47
SHA256
DLL do Claimloader
4c66e7ebf2ca2ecf00379463835
SHA256
DLL do Claimloader
112118aad0db9ff6c78dce2e81d9
SHA256
DLL do Claimloader
7476d6b375d8b1962624723aab
SHA256
DLL do Claimloader
0bd114fecfd3c09820fa013d8cd8
SHA256
Backdoor do Toneshell
5d7b9605cf85371da0849b8297
SHA256
Backdoor do Toneshell
62087a1226c5433d6f6184d627
SHA256
Backdoor do Toneshell
534853913ad1e9b7ae7dade841
SHA256
Backdoor do Pubload
2da73366f9efc0d1c05c72e404
SHA256
Backdoor do Pubload
b04775803e48979b68480a49
SHA256
Backdoor do Pubshell
b4c37e3995d5ff94754cedd49f
SHA256
Worm HIUPAN USB
f5fd2905d90755d021e1442c34f
SHA256
Worm HIUPAN USB
45[.]136[.]254[.]193:443
Endereço IP, porta
Servidor C2 do Toneshell
45[.]144[.]165[.]66
Endereço IP, porta
Servidor C2 do Toneshell
218[.]255[.]96[.]245:443
Endereço IP, porta
Servidor C2 do Pubload
103[.]27[.]202[.]132
Endereço IP, porta
Servidor C2 do Toneshell
45[.]12[.]91[.]223:443
Endereço IP, porta
Servidor C2 do Pubload
