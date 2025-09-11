据观察，Hive0154 组织正使用一款新加载器，通过反射注入方式加载 Pubload 或 Toneshell7 恶意软件，同时也会直接部署混淆程度更高的 Toneshell8 变种。最新版 Pubload 仅做了小幅改动，除保留原有的“伪装 TLS 流量的原始 TCP 通信”功能外，新增了诱饵 C2 服务器支持，且可通过 HTTP POST 方法下载壳代码载荷。

2025 年 9 月发现的归档文件“CallNotes.zip”，是通过一个伪装成缅甸外交部的 PDF 诱饵文档中的链接，从 Box 云存储平台下载获取的：