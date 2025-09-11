2025 年 7 月，IBM X-Force 发现了与中国关联的威胁组织 Hive0154 的新恶意软件。其中包括可规避检测并支持多项新功能的升级版 Toneshell 变种，以及8月中旬发现的新型 USB 蠕虫 SnakeDisk。该蠕虫仅在泰国 IP 地址的设备上执行，并会投放由 Netskope 于 2024 年 12 月发现的 Yokai 后门。
Hive0154 是一个成熟的威胁参与者，拥有庞大的恶意软件武器库、统一的攻击技术体系，且在过去数年中的活动轨迹具备充分的可追溯性。该组织由多个子集群构成，长期针对公共及私人组织发动网络攻击，攻击目标涵盖智库、政策研究机构、政府部门及个人。X-Force 观察到，该组织使用多种自定义恶意软件加载器、后门及 USB 蠕虫家族，充分彰显了其先进的恶意代码开发能力。Hive0154 的活动轨迹与公开报道的多个威胁参与者存在重叠，包括 Mustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris 及 Earth Preta 等。
整个 2025 年年中，X-Force 观察到多个来自新加坡和泰国的武器化压缩包被上传至 VirusTotal：
文件名
恶意 DL
C2 服务器
日期
Meeting Venue Request Information.zip
加载器注入 Pubload shellcode
188.208.141[.]
5 月 21 日
Hotel Booking Request.7z
Toneshell8
146.70.29[.]
7 月 3 日
Cyber_Safety_
Toneshell8
146.70.29[.]
7 月 30 日
TNLA နှင့် အခြားတော်လှန်ရေးအင်အားစုများ.rar
（缅语译名：“TNLA 及其他革命武装力量”）
Toneshell8
146.70.29[.]
7 月 30 日
安全扫描 (08-02-205).zip
Toneshell8
146.70.29[.]
8 月 5 日
Notes.rar
加载器注入 Pubload shellcode
188.208.141[.]
8 月 21 日
CallNotes.zip
加载器注入 Toneshell7 shellcode
146.70.29[.]
9 月 4 日
据观察，Hive0154 组织正使用一款新加载器，通过反射注入方式加载 Pubload 或 Toneshell7 恶意软件，同时也会直接部署混淆程度更高的 Toneshell8 变种。最新版 Pubload 仅做了小幅改动，除保留原有的“伪装 TLS 流量的原始 TCP 通信”功能外，新增了诱饵 C2 服务器支持，且可通过 HTTP POST 方法下载壳代码载荷。
2025 年 9 月发现的归档文件“CallNotes.zip”，是通过一个伪装成缅甸外交部的 PDF 诱饵文档中的链接，从 Box 云存储平台下载获取的：
八月中旬，X-Force 还发现了与先前 Tonedisk 变种存在重叠的新型 USB 蠕虫 SnakeDisk。该蠕虫仅根据设备公网 IP 地址判断地理位置，确认位于泰国境内才执行。SnakeDisk 会投放 Yokai 后门——该后门由 Netskope 在 2024 年 12 月公开披露，与多起针对泰国的攻击活动存在关联。
鉴于 Yokai 后门此前就有针对泰国的攻击记录，此次新型 USB 蠕虫的发现似乎与泰国近期相关的地缘政治事件存在关联：
传统上，中华人民共和国（PRC）一直是柬埔寨的重要支持者，提供武器援助并投资数十亿美元用于基建项目。近期的地缘政治事件可能促使 Hive0154 针对泰国展开行动。SnakeDisk USB 蠕虫被配置为仅限泰国境内的设备执行，这似乎表明 Hive0154 正试图渗透政府网络中常用的物理隔离系统。
X-Force 于 2025 年 3 月首次发现 Toneshell 版本 8。该变种的行为与早期 7 版本高度相似，但包含小幅更新以规避静态检测并阻碍逆向分析。最显著的变化是在恶意软件的函数中嵌入了垃圾代码。这些垃圾代码段实现了以下行为：
例如，这三个代码示例可在解析所有 API 的函数中找到：
Toneshell8 开发者还选用自定义线性同余生成器（LCG）替代伪随机数生成器（PRNG），例如采用不同常数的实现：
伪随机数生成器 (PRNG) 在 Toneshell 恶意软件中用于生成受害者 ID、C2 流量加密密钥，以及验证 C2 信标的真实性。Toneshell8 样本中 PRNG 的实现质量差异显著。例如上述生成器被前述 4 个样本采用，且对于大多数种子仅能产生 11 种不同的状态。
最后，发送至 C2 服务器的硬编码响应码（用于向操作者通知指令状态）现通过计算样本中不同的硬编码整数值进行混淆处理。
2025 年 7 月，X-Force 发现代号为 Toneshell9 的新变种。该变种包含重大更新，截至撰写本文时在 VirusTotal 上仍无检测记录（318a1ebc0692d1d012d20d306d6634b196cc387b1f4bc38f97dd437f117c7e20）。
该变种首次出现于携带“USB Safely Remove”软件的恶意 RAR 压缩包。其代码结构似乎基于 2024 年 12 月的分叉变种，二者 C2 配置完全一致。
与早期变种类似，Toneshell9 以 DLL 侧载方式执行。该武器化 RAR 归档文件包含一个 BAT 文件，通过命令行参数“-Embedding”启动合法可执行程序“USBSRService.exe”。当 Toneshell 恶意 DLL“EasyFuncs.dll”被加载到内存，且导出函数 FS_RegActiveX 执行后，其首先解析初始化所需的第一组 API。在解析“-Embedding”命令行参数后，Toneshell 会以新进程形式启动其父进程可执行程序，并附带参数 “EvtSys”。该参数会触发恶意 DLL 的核心恶意行为。
Toneshell 首先初始化一个新的客户端对象，该对象包含以下值：
然后，它通过自定义哈希函数解析其余必要的 API，并将函数指针存储在单独的结构体中。接下来，它会创建一个新事件“Windows External Module”，充当互斥锁，以防止在同一台机器上运行多个实例。
Toneshell9 中充斥着多段垃圾代码，这些代码会获取当前 CPU 时钟周期数，将结果存储为字符串后又立即释放该字符串。
为在内存中管理和存储 C2 通信数据、代理服务器配置、信标信息及载荷，Toneshell 会实例化一个大小为 129KB 的大型对象：
与早期变种不同，Toneshell9 会枚举 HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER 及 HKEY_USERS\.DEFAULT 三个注册表 hive，以搜索本地配置的代理服务器。
若检测到代理服务器，则将 URL 协议类型（http, https, ftp, or socks）及完整 URL 以字符串形式存入对象列表。
接着 Toneshell 将 C2 服务器域名与 IP 地址存入字符串向量，同时把相同的硬编码 IP 与端口直接存入 SOCKADDR_IN 结构数组。随后遍历 C2 服务器字符串，解析每个地址的 IP 并添加入同一 SOCKADDR_IN 结构数组。
与先前变种类似，Toneshell 会生成包含 16 字节随机受害者 GUID 的文件（通过 Windows _rand() 函数生成）：
该 GUID 与文件路径及受害者 NetBIOS 名称共同存储于结构体中。
上述数据用于在内存中构造一个信标对象。值得注意的是，Toneshell9 会计算上述主要初始化行为前后的 CPU 时钟计数差值。该值经过标准化处理，可能用于检测执行时间异常（如延迟沙箱执行或调试行为）。
通过 _rand() 生成 0x300 字节的 XOR 密钥，用于加密从偏移量 0x300 起始的 101 字节数据。随后将数据封装为仿冒的 TLS 1.2 应用数据包，格式如下：
在主循环中，Toneshell9 执行函数尝试连接 C2 服务器：首先尝试通过首个 SOCKADDR_IN 结构建立连接。如果失败，恶意软件会尝试通过从注册表收集的代理服务器建立套接字连接。此过程针对所有 C2 地址字符串（包括 IP 地址与域名）逐一尝试。
在解析代理服务器的地址并通过 TCP 套接字连接后，首先将发送和接收超时时间设置为 1 分钟。接下来，它发送以下连接请求：
如果代理服务器返回 2xx 状态码，表示连接已成功建立，准备进行原始TCP 隧道通信。为验证与 C2 服务器的连接，Toneshell9 采用简短的握手协议，并在过程中传输服务器 IP 与端口信息。若握手成功，套接字句柄将存入 C2_CONNECTION 结构体，同时套接字超时时间设置为 2 分钟。随后 Toneshell 通过该套接字发送首个通信信标。
该恶意软件期望从其 C2 服务器接收格式相似的响应数据，除前 5 字节外，其余数据均通过此前传输的异或密钥进行加密：
Toneshell 借助受感染设备上已配置的代理服务器，可有效融入其他网络流量中。大型企业环境通常会部署出站过滤机制，仅允许流量通过可信网关传输，这会阻断直接的 C2 通信。而 Toneshell 新增的这一过滤规避能力，使其能够在安全防护严密的网络环境中正常运作。
收到首次 C2 响应后，Toneshell 会启动新线程，每 30 秒发送一次类似心跳的响应信标（包含 0x1 响应码与随机 shell_id 值）。响应信标的格式极为相似：
Toneshell9 支持以下指令码：
代码
说明
2
跳过当前信标，等待处理下一个
3
创建新反向 shell 并分配至 shell_id
4
将命令字符串写入由 shell_id 标识的反向 shell
5
关闭由 shell_id 标识的反向 shell
与先前变种类似，反向 shell 通过连接新 cmd.exe 进程 stdin/stdout 句柄的匿名管道建立。Toneshell9 支持同时运行两个活跃反向 shell，并使用以下结构管理 shell 连接：
每个反向 shell 都会创建独立线程，定期检查 stdout 管道的新数据，并通过响应码为 0x4 的信标将数据回传至 C2 服务器。Toneshell 操作者可通过正确的 shell_id 向管道写入字符串数据，从而在受感染机器上执行任意命令。当关闭反向 shell 时，系统上由 parent_pid 标识的 conhost.exe 进程也会被终止。
2025 年 8 月，X-Force 发现一款此前未知的 USB 蠕虫，并将其归因于 Hive0154 组织。这个 32 位 DLL 文件以 "01.dat" 为名从泰国上传至 VirusTotal，其特性与 Toneshell9 高度相似：两者均通过 DLL 侧加载执行，除 DllEntryPoint 和恶意软件入口点外，所有导出函数都指向同一立即返回的例程；同时它们还具备几乎完全相同的 API 解析机制，这与绝大多数 Toneshell 相关恶意软件的特征一致。与 Toneshell9 样本类似，SnakeDisk 也会读取命令行参数以选择两种执行路径之一：
为执行 USB 感染功能，SnakeDisk 蠕虫需要一个配置文件，并会在其父进程可执行程序的当前目录中搜索该文件。该目录下找到的所有文件（命名为“System Volume Information”的文件除外）都会被加入潜在配置文件列表。随后，SnakeDisk 会打开并读取每个文件，在执行解密操作前，通过验证以下条件来确认文件的有效性。
SnakeDisk 随后采用疑似自定义的双阶段 XOR 算法配合 330 字节头部中存储的 320 字节密钥对数据进行解密。
最终，恶意软件会解析定义其行为的 18 个字符串配置值。虽然 X-Force 未能获取配置文件，但通过对 SnakeDisk 的分析可推断以下字段的潜在用途：
配置字段
用途
版本
恶意软件版本信息，用于判断已感染的客户端是否需要重新感染更新后的变种。
mutx
互斥体字符串。
psd
在当前分析的样本中未使用。可能是 "usd" 的本地等效字段——所有以 "u*" 开头的值均代表武器化后 USB 设备上的文件或目录名称。
urd
疑似 "USB 根目录"。在 USB 设备上创建的、用于容纳子目录的目录名称。
uud
疑似 "USB 用户目录"。位于<urd>之下的目录名称，用于存放来自 USB 设备的用户原始文件。
usd
疑似 "USB 暂存目录"。位于<urd> 下的目录名称，用于存储 SnakeDisk 的各种恶意组件。
pnex
疑似 "父进程可执行文件名"。SnakeDisk 执行时，其当前目录中存在的文件名称。
pndl
疑似 "父进程 DLL 文件名"。SnakeDisk 执行时，其当前目录中存在的文件名称。
pnen
疑似 "父进程加密文件名"。SnakeDisk 执行时，其当前目录中存在的文件名称。
pnendl
可能是“经加密的父进程名称相关 DLL”。SnakeDisk 执行期间其当前目录中存在的某个文件的文件名。
unex
可能是“USB 设备名称关联的可执行文件”。从 <pnex> 复制到 USB 设备的文件的文件名。
undl
疑似 "USB DLL 文件名"。从<pndl>复制到 USB 设备的文件名称。
unen
疑似 "USB 加密文件名"。从 <pnen> 复制到 USB 设备的文件名称。
unendl
可能“USB 名称加密 DLL”。从 <pnendl> 复制到 USB 设备的文件的文件名。
unendl_org
从 <pnendl> 复制到 USB 设备根目录、并通过文件属性隐藏的（疑似 DLL 格式）文件的文件名
unconf
投放至 USB 设备的 SnakeDisk 配置文件的文件名称。
regkey
可能关联注册表持久化机制。在当前分析的样本中未使用。
schkey
可能关联计划任务持久化机制。在当前分析的样本中未使用。
成功读取配置文件后，SnakeDisk 会尝试确认当前是否在泰国境内的机器上执行。它向 http://ipinfo[.]io/json 发送 HTTP GET 请求，并检查返回的 "country" 字段是否匹配 "THA" 或 "TH"。若条件满足，恶意软件将继续执行。
值得注意的是，即使在解析 API 或进行网络通信时发生错误，程序仍会继续运行。
随后，SnakeDisk 尝试打开名为 "Global\\" 的互斥锁来确保仅运行单个实例。若该互斥锁已存在，恶意软件将退出；否则，它会通过 CreateMutexW 函数创建互斥锁。
为感染所有已连接的 USB 驱动器，SnakeDisk 开始遍历从 A 到 Z 的所有可能盘符。它会打开物理卷的句柄（例如 "\\.\A:"），并向设备发送 IO 控制码 IOCTL_STORAGE_GET_HOTPLUG_INFO (0x2D0C14)。如果根据返回的 STORAGE_HOTPLUG_INFO 结构判断该设备为热插拔设备，它将启动新线程感染该驱动器。
遍历所有盘符后，SnakeDisk 休眠 5 秒，随后注册名为 "TestClassName" 的新窗口类并创建对应的 "TestWindowName" 窗口。为接收来自操作系统的消息，该函数通过 GetMessageW 创建 Windows 消息循环，并经由 TranslateMessage 与 DispatchMessageW 将消息分派至恶意软件的窗口处理程序。仅当收到 WM_CAP_PAL_OPEN (0x450) 消息时，该循环才会退出。恶意窗口类引用了一个自定义过程，用于监听 WM_DEVICECHANGE (0x219) 消息，特别是 DBT_DEVICEARRIVAL (0x8000) 和 DBT_DEVICEREMOVECOMPLETE (0x8004) 事件。
若接收到此类消息（例如，当 USB 设备插入受感染机器时），该函数会利用 DEV_BROADCAST_VOLUME 结构体的 dbcv_unitmask 字段确定对应设备的驱动器号。对于新连接的设备，SnakeDisk 会启动新线程对该驱动器进行感染。若检测到设备被移除，SnakeDisk 会启动线程释放并执行内置载荷，该载荷的执行流程与 SnakeDisk DLL 通过命令行参数“-hope”启动时的执行路径完全一致。
用于感染已检测到的 USB 设备的线程，首先会在该驱动器中搜索已存在的配置文件，以判断其是否已被感染。该线程会尝试对所有扩展名为 .dat 或 .cd 的文件进行解密和配置解析。若解析成功，恶意软件会将已感染驱动器中的 SnakeDisk 版本号与其自身配置中的版本号进行比对，仅对安装了旧版本 SnakeDisk 的驱动器执行重新感染操作。
接着，SnakeDisk 启动另一个线程，将 USB 上的现有文件移至新的子目录中。通过隐藏用户原本期望在 USB 中看到的文件，恶意软件增加了受害者误以为 USB 尚未被打开，从而在另一台机器上意外点击与设备同名的武器化可执行文件的可能性。执行后，恶意启动器会重新复制用户文件以避免引起怀疑。受感染设备上存放用户数据的路径根据配置值构建如下：
该恶意软件可能采用两种不同的机制执行此操作，每种机制均在独立线程中启动。第一种机制通过 SHFileOperationW 函数移动各类文件，且在每次操作过程中，会从文件“C:\Windows\Tmp\msd.log”读取 32 字节数据，将其写入文件“C:\ProgramData\app.log”后随即删除该日志文件。此行为的具体目的目前尚不明确。
在该线程运行期间，恶意软件会定期检查任务是否在 30 秒内成功完成，随后启动第二个线程。第二个线程使用 robocopy 移动文件，并在新进程中执行以下命令：
两次文件移动操作均排除了 SnakeDisk 的武器化文件及应保留在 USB 磁盘根目录的 "System Volume Information" 文件。运行上述命令后，会再次执行相同命令并附加两个参数 /IS 和 /XO，以包含相同文件并排除比目标目录更旧的源目录文件。
移动 USB 上的现有文件后，SnakeDisk 开始从其当前目录向 USB 驱动器复制自身载荷。根据配置指定的以下文件将通过 CopyFileW 进行复制（每个文件在新线程中处理）：
USB 驱动器根目录下该 EXE 文件的文件名会被设置为 USB 设备的卷标名称；若卷标为空，则直接命名为“USB.exe”。SnakeDisk 还会为复制到路径“< 驱动器号 >:”的文件设置“系统”和“隐藏”属性。且 USB 设备上的所有目录也会被赋予这些属性，这使得除该可执行文件外，其余所有内容均被有效隐藏。尽管 X-Force 未获取到其他文件，但此前的 USB 蠕虫曾使用相同手法诱导受害者点击该可执行文件，进而通过 DLL 侧载触发感染流程。该恶意 DLL 的文件名很可能存储在配置项“unendl_org”中。最后，SnakeDisk 会将自身配置写入 USB 设备上一个新文件，文件名取自配置项“unconf”的值。
当检测到 USB 设备移除时，或通过 "-hope" 命令行参数在 SnakeDisk 执行开始时，负责投放并执行内嵌载荷的 SnakeDisk 线程将被启动。
该线程首先读取其所在目录下的标记文件“vm.ini”，并将文件内容与自身当前路径进行比对。此文件会在载荷成功释放并执行后写入系统，用于标记受害者设备是否已感染 SnakeDisk 的内置载荷。如果路径匹配，则不会丢弃任何载荷，并且线程将终止。
完成首次检查后，SnakeDisk 开始向 "C:\Users\Public\" 目录投放一系列载荷。每个文件均在内存中通过大小介于 0.6 至 3.3 MB 的大型函数内的立即数值构建而成。
随后通过简单的 XOR 运算对载荷进行解密，再将其作为文件投放到以下路径：
这些文件会以三个为一组进行拼接，通过以下命令生成两个最终载荷：
该可执行文件的文件名由 10 个随机大写字母与数字组成。文件拼接完成后，原始文件将被删除。
最终，可执行文件会在新进程中启动，并附带硬编码的命令行参数：
不出所料，此可执行文件（哈希值 bb5bb82e5caf7d4dbbe878b75b23f793a5f3c5ca6dba70d8be447e8c004d26ce）是合法且经过签名的 acwebbrowser.exe，它会在执行过程中通过 DLL 侧加载技术加载恶意的 libcef.dll。
其中该 DLL 载荷被识别为 Yokai 后门，该后门已于 2024 年 12 月由 Netskope 披露。该恶意软件执行后，首先会检查是否存在命令行参数“-project-mod”；若当前用户并非管理员组成员，则会通过计划任务建立持久化机制：
随后，后门会创建名为 "k1tpddvivh74fo1et725okr1c1" 的新互斥锁，并初始化内部配置结构。SnakeDisk 投放的此变种包含版本字符串 "1.0.0"，并通过 HTTP POST 请求联系硬编码的 C2 服务器：
正如 Netskope 的分析报告所述，Yokai 后门通过匿名管道创建反向 shell，使攻击者能够在受感染机器上执行任意命令。
值得注意的是，Yokai 后门与归因于 Hive0154 的其他后门家族（如 Pubload/Pubshell 和 Toneshell）存在重叠特征。尽管这些家族显然是独立的恶意软件，但它们大致遵循相同的结构，并使用类似的技术与 C2 服务器建立反向 shell。
X-Force 的分析还发现，SnakeDisk 与 Tonedisk 之间存在高度关联性。多年来，已发现多个与威胁组织 Hive0154 相关联的 USB 蠕虫家族。其中在实现逻辑上与 Toneshell 家族高度相关的变种被 X-Force 归类为 Tonedisk。截至目前，已识别出 3 个主要的 Tonedisk 版本（A、B、C）。每个版本均由一组不同的恶意组件构成，共同实现 USB 蠕虫的完整功能。这些组件包括启动器、加载器、传播器、加密文件、安装程序和后门。
SnakeDisk 尤其与 ToneDisk A 变种存在重叠，该变种曾于 2023 年年中被 Checkpoint 以 WispRider 之名报告。两款恶意软件的 USB 传播机制、API 哈希算法及配置文件均显示出多处相似性，这符合 Hive0154 子集群内部已知的共享与复用恶意代码的倾向。
X-Force 将本报告所述活动归入 Hive0154 总集群进行追踪，该集群与已公开的 Mustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris、TEMP.Hex 及 Earth Preta 等活动存在部分重叠。该组织似乎维持着一个相当庞大的恶意软件生态体系，在恶意代码、攻击技术及目标选择上频繁出现重叠。在这个总集群内，X-Force 以较低置信度区分出至少三个子活动集群，每个集群分别与核心恶意软件系列 PlugX、Toneshell 和 Pubload 相关联。值得注意的是，每个恶意软件系列都搭配了不同的 USB 蠕虫框架以及一个或多个相关的加载器变种（这些加载器变种更迭更为频繁）。同一加载器可能在相同时期内用于投放不同载荷（如 Toneshell 或 Pubload）。但需重点指出，活动集群的划分并不自动意味着它们作为独立子群组运作。
与 SnakeDisk 及 Yokai 后门相关的活动可能指向 Hive0154 的又一个子集群。当前迹象表明其主要针对泰国，这从 SnakeDisk 中的 IP 地理定位检查及 Netskope 的报告中可见一斑。
Hive0154 仍是一个能力高超的威胁行为者，拥有多个活跃子集群及频繁的开发周期。X-Force 以高度置信度评估，与中国相关的组织如 Hive0154 将继续完善其庞大的恶意软件武器库，并瞄准全球的公共及私营机构。本报告讨论的恶意软件可能仍处于早期开发阶段，这使防御方有机会在其广泛使用前部署检测机制。面临 Hive0154 间谍活动风险的实体应保持高度防御状态，对本报告提及的技术保持警惕，并参考以下建议：
指示符
指标类型
情境化
f8b28cae687bd55a148d363d58f1
SHA256
用于投递 Toneshell8 恶意软件的武器化压缩包
8132beeb25ce7baed0b561922d26
SHA256
用于投递 Toneshell8 恶意软件的武器化压缩包
d1466dca25e28f0b7fae71d5c2abc0
SHA256
用于投递 Toneshell8 恶意软件的武器化压缩包
1272a0853651069ed4dc505007e85
SHA256
用于投递 Toneshell8 恶意软件的武器化压缩包
b8c31b8d8af9e6eae15f30019e39c
SHA256
用于投递 Toneshell7 恶意软件的武器化压缩包
7087e84f69c47910fd39c3869a70
SHA256
用于投递 Pubload 恶意软件的武器化压缩包
38fcd10100f1bfd75f8dc0883b0c
SHA256
用于投递 Pubload 恶意软件的武器化压缩包
69cb87b2d8ee50f46dae791b5a0
SHA256
携带武器化压缩包下载链接的 PDF
564a03763879aaed4da8a8c1d60
SHA256
注入 Toneshell7 的加载器
e4bb60d899699fd84126f9fa0df
SHA256
注入 Pubload 的加载器
c2d1ff85e9bb8feb14fd015dceee1
SHA256
注入 Pubload 的加载器
188.208.141[.]196
IPv4
Pubload C2 服务器
bdbc936ddc9234385317c4ee83
SHA256
ToneShell8 后门
f0fec3b271b83e23ed7965198f3b
SHA256
ToneShell8 后门
e7b29611c789a6225aebbc9fee37
SHA256
ToneShell8 后门
9ca5b2cbc3677a5967c448d9d21
SHA256
ToneShell8 后门
146.70.29[.]229
IPv4
Toneshell7/Toneshell8 C2 服务器
318a1ebc0692d1d012d20d306
SHA256
ToneShell9 后门
0d632a8f6dd69566ad98db56
SHA256
投放 Toneshell9 的武器化压缩包
39e7bbcceddd16f6c4f2fc2335a
SHA256
投放 Toneshell9 的武器化压缩包
05eb6a06b404b6340960d7a6
SHA256
包含 Toneshell 分叉版本的加载器（作为 Toneshell9 的开发基础）
123.253.34[.]44
IPv4
Toneshell9 C2 服务器
www.slickvpn[.]com
域
Toneshell9 C2 服务器
dd694aaf44731da313e4594d
SHA256
SnakeDisk USB 蠕虫
bb5bb82e5caf7d4dbbe878b7
SHA256
SnakeDisk 用于 DLL 侧载 Yokai 后门的良性 EXE 载荷
35bec1d8699d29c27b66e564
SHA256
Yokai 后门 DLL
http://118.174.183[.]89/kptinfo
URL
Yokai C2 服务器
