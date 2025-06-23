Tags
Hive0154 alias Mustang Panda verlagert den Fokus auf die tibetische Gemeinschaft, um Pubload bereitzustellen

Autoren

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

Zusammenfassung

Im Juni 2025 entdeckten Forscher von IBM X-Force den mit China verbündeten Bedrohungsakteur Hive0154, der Pubload-Malware mit Funktion Dokumenten und Dateinamen verbreitete, die auf die tibetische Gemeinschaft abzielten. Der Streit um die tibetische Souveränität wird von chinesischen Bedrohungsgruppen bei ihren Cyberoperationen häufig angeführt. Die jüngste Kampagne fiel mit den Aktivitäten im Vorfeld eines wichtigen Ereignisses für die tibetische Gemeinschaft zusammen, dem 90.

Mehrere beobachtete Köder behandeln folgende Themen im Zusammenhang mit der tibetischen Gemeinschaft:

  • Die 9. Weltparlamentarierkonferenz zu Tibet (WPCT), die vom 06.02. bis 06.04. in Tokio, Japan, stattfand.
  • Chinas Bildungspolitik in der Autonomen Region Tibet (TAR). Das Thema ist für die tibetische Gemeinschaft von großer Bedeutung, und die kulturelle Assimilation in Tibet wurde von Human Rights Watch in seinem Bericht hervorgehoben. 
  • Das im März 2025 erschienene Buch „Voice for the Voiceless“ (Stimme für die Stimmlosen) wurde vom tibetischen Exilführer, dem Dalai Lama, veröffentlicht. In dem Buch geht es um den Dialog des Dalai Lama mit der chinesischen Führung über die Unabhängigkeit Tibets.

Wesentliche Feststellungen

  • Der auf China ausgerichtete Bedrohungsakteur Hive0154 hat in gezielten Kampagnen im Jahr 2025 zahlreiche Phishing-Köder verbreitet, um die Pubload-Backdoor bereitzustellen
  • Hive0154 erfindet Dateinamen, die auf verschiedene geopolitische Themen verweisen und darauf zugeschnitten sind, bei den Zielempfängern ein erhöhtes Interesse zu wecken.
  • Seit Mai 2025 bemerkt X-Force einen verstärkten Fokus auf Themen, die auf die tibetische Community zugeschnitten sind
  • Die Phishing-Kampagnen beziehen sich auf die 9. Weltparlamentarierkonferenz zu Tibet (WPCT), die im Juni in Tokio stattfand, auf Chinas Bildung in der Autonomen Region Tibet (TAR) und auf das 2025 erscheinende Buch „Voice for the Voiceless“ des Dalai Lama.
Überblick über Hive0154

Hive0154 ist ein etablierter, mit China verbundener Bedrohungsakteur, der über ein umfangreiches Malware-Arsenal, konsistente Techniken und gut dokumentierte Aktivitäten in den letzten Jahren verfügt. Die Gruppe besteht aus mehreren Subclustern und verübt Cyberangriffe gegen öffentliche und private Unternehmen, darunter Think Tanks, politische Gruppen, Regierungsbehörden und Einzelpersonen. Die Beobachtung von X-Force bei der Verwendung mehrerer benutzerdefinierter Malware-Loader, Backdoors und USB-Wurmfamilien durch die Gruppe zeigt deren fortschrittliche Funktionen. Die Aktivität von Hive0154 überschneidet sich mit den öffentlich gemeldeten Bedrohungsakteuren Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris und Earth Preta.

Vorherige Aktivität

X-Force hat zuvor umfangreiche Aktivitäten beschrieben, die einem Untercluster von Hive0154 zugeschrieben werden und von Ende 2024 bis Anfang 2025 die USA, die Philippinen, Pakistan und Taiwan in einer mutmaßlichen Spionagekampagne ins Visier nahmen. Die Gruppe nutzt waffenfähige Archive, die aus Spear-Phishing-E-Mails stammen, um Einrichtungen wie die Regierung, das Militär und das diplomatische Personal der Philippinen, der Vereinigten Staaten und Pakistans anzugreifen. Die Phishing-E-Mails, Archive und bösartigen Dateinamen verwenden Bezüge zu verschiedenen geopolitischen Themen, die auf die jeweilige Zielgruppe zugeschnitten sind, um bei den Empfängern ein gesteigertes Interesse zu wecken. Die E-Mails enthalten häufig Google Drive-URLs, über die ZIP- oder RAR-Archive mit Schadsoftware heruntergeladen werden, wenn der Empfänger auf den Link klickt.

Beispiel einer Phishing-E-Mail vom Typ Hive0154 aus einer Kampagne im April 2025.
Abb. 1: Beispiel einer Phishing-E-Mail vom Typ Hive0154 aus einer Kampagne im April 2025.

Die Archive enthalten eine harmlose ausführbare Datei, die anfällig für DLL-Sideloading ist, sowie eine bösartige Claimloader-DLL. Die ausführbaren Dateien werden typischerweise umbenannt, um die Opfer dazu zu verleiten, sie zu öffnen, wodurch die Infektionskette sofort ausgelöst wird. Die Claimloader-Malware etabliert Persistenz, entschlüsselt ihre eingebettete Pubload-Nutzlast und injiziert sie in den Speicher. Pubload lädt weitere PubShell herunter, eine leichtgewichtige Backdoor, die den sofortigen Zugriff auf die Maschine über eine Reverse-Shell ermöglicht. 

Diagramm der Pubload-Infektionskette
Abb. 2: Infektionskette von Pubload

9. Weltparlamentarier-Konvention über Tibet (WPCT)

Als die Kampagne begann (21. Mai), war der untenstehende WPCT-Lock wahrscheinlich ein Hinweis auf die bevorstehende Tagung, die vom 2. bis 4. Juni in Tokio, Japan, stattfand.

Name des Köders

 Land des Einreichers

 Claimloader DLL SHA256

 Datum

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

 Indien

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21. Mai 2025

Der Kongress findet normalerweise in den USA oder Europa statt und wurde zum ersten Mal in Japan veranstaltet. Insgesamt nahmen 142 Parlamentarier und Vertreter aus 29 Ländern teil, darunter Parlamentsmitglieder aus Belgien und Japan. Die chinesische Botschaft in Japan hat die Beteiligung der tibetischen Zentralverwaltung, die auch als tibetische Exilregierung bekannt ist, an dem Kongress scharf verurteilt. Die Konvention führte zu den Ergebnissen in der Tokio-Erklärung, in der die Repressionen der chinesischen Regierung in der Region Tibet verurteilt und internationale Gesetze zum Schutz der kulturellen und religiösen Freiheit Tibets gefordert wurden. X-Force-Forscher entdeckten, dass die Hive0154-Kampagne vor und nach der Konvention unterschiedliche Köder entwickelte.

Nach der Konvention wurden mehrere Erklärungen herausgegeben, darunter Wise Action Plans zu Tibet. Hive0154 hat es wahrscheinlich von der Website kopiert und in ein harmloses Microsoft Word-Dokument (DOCX) innerhalb eines präparierten Archivs eingefügt. Das Archiv enthält außerdem Artikel, die direkt von verschiedenen tibetischen Websites (hier und hier) zum Thema der Konvention kopiert wurden, sowie authentische Fotos von der Konvention. Das Vorhandensein legitimer Artikel und Fotos unter den bewaffneten ausführbaren Dateien mit demselben Namen wird die Opfer wahrscheinlich dazu bringen, versehentlich eine der EXE-Dateien zu öffnen und unwissentlich die Infektion auszulösen.

„9th WPCT Region-Wise Action Plans on Tibet.exe“: 

Screenshot eines harmlosen DOCX, verpackt in einem bewaffneten Archiv zusammen mit EXEs, die denselben Dateinamen teilen
Abb. 3: Screenshot einer harmlosen DOCX-Datei, die zusammen mit EXE-Dateien mit demselben Dateinamen in ein waffenfähiges Archiv gepackt wurde

„Tibet in Focus as Global Lawmakers Convene in Tokyo.exe“

Screenshot eines harmlosen DOCX, verpackt in einem bewaffneten Archiv zusammen mit EXEs, die denselben Dateinamen teilen
Abb. 4: Screenshot einer harmlosen DOCX-Datei, die zusammen mit EXE-Dateien, die denselben Dateinamen tragen, in ein präpariertes Archiv verpackt ist (Quelle: Tibet.net)

Fotos von der Konferenz, die als Köder verwendet wurden: „9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe“

Tibetische Führer sitzen mit Mikrofonen an einem langen Podium vor Reportern und Bürgern. Abb. 5: JPG-Bild in ein Waffenarchiv gepackt (Quelle: Tibet.net)
Einzelfotos von tibetischen und anderen internationalen Führungspersönlichkeiten auf der Tibet-Konferenz in einer Collage
Abb. 6: Bilder von der Konvention, zusammen mit bösartiger EXE und DLL in einem bewaffneten Archiv verpackt (Quelle: Tibet.net)

Weitere Aktivitäten richten sich an die tibetische Gemeinschaft und die U.S.

In einer anderen Kampagne entdeckte X-Force weitere bösartige Dateien zum Thema Tibet. Diese Dateien haben Namen mit Themen, die für die tibetische Gemeinschaft von Interesse sind, wie bilinguale Bildung in Tibet oder der Titel eines kürzlich veröffentlichten Buches des Dalai Lama. Die Auswahl solcher Themen wurde wahrscheinlich so konzipiert, dass die Empfänger dazu verleitet werden, empfänglich zu sein und auf die Datei zu klicken. Es ist bemerkenswert, dass die Proben mit Bezug zu Tibet aus Indien abgesendet wurden, wo die tibetische Regierung derzeit operiert, und das deutet darauf hin, dass die Empfänger der Dateien sie möglicherweise an VirusTotal abgesendet haben. In einer parallelen Kampagne entdeckte X-Force eine Datei, die wahrscheinlich auf die U.S. Navy abzielt und in der möglicherweise laufende Arbeitsgruppentreffen zwischen der U.S. Navy und anderen Parteien diskutiert werden.

Name des Köders

Land des Einreichers

Claimloader DLL SHA256

Datum

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

USA

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

 17. April 2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(aus dem Tibetischen übersetzt: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)

Indien

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

 26. Mai 2025

Voice for the Voiceless photos/Voice for the Voiceless photos.exe

Indien

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28. Mai 2025

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

USA

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

 9. Juni 2025

“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (aus dem Tibetischen übersetzt: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): Das Thema ist für die tibetische Gemeinschaft von großer Bedeutung, und die kulturelle Assimilation in Tibet wurde von Human Rights Watch in seinem Bericht erwähnt.

„Voice for the Voiceless photos/Voice for the Voiceless photos.exe“: Dies ist eine Anspielung auf ein Buch , das vom tibetischen Exilführer, dem Dalai Lama, im März 2025 veröffentlicht wurde. Er schreibt über seinen Dialog mit chinesischen Führungskräften bezüglich der Unabhängigkeit Tibets.

„DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe“: Diese Datei könnte ein Verweis auf das Bergbauabkommen zwischen der Demokratischen Republik Kongo (DRC) und den USA sein und auf die Bemühungen, die DRC für ein solches Abkommen zu gewinnen, nachdem sie beobachtet hat, dass die Ukraine ein ähnliches Abkommen mit den USA abgeschlossen hat. Ab Juni 2025 steht die DRC kurz vor dem Abschluss des Abkommens mit den USA als Gegenleistung für militärische und diplomatische Hilfe gegen die M23-Rebellen, die vom benachbarten Ruanda unterstützt werden.

„(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the Conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe“: Dies könnte sich auf die Pazifikflotte der US Navy und deren Outreach-Aktivitäten für die Pazifikländer beziehen. Die Flotte stellt Seestreitkräfte für das US-Indo-Pazifik-Kommando bereit und kann im Falle eines Konflikts in Taiwan zum Einsatz kommen.

Technische Details: Aktualisierungen des Claimloaders

Claimloader ist eine Familie von Loadern, die sich im Laufe der letzten Jahre erheblich weiterentwickelt haben. Sie enthalten eine verschlüsselte Shellcode-Nutzlast, die zur Laufzeit entschlüsselt und injiziert wird. Unser vorheriger Blog liefert weitere technische Details zu früheren Varianten, die von Hive0154 verwendet wurden.

Bei der ersten Ausführung erstellt Claimloader zunächst ein neues Mutex-Objekt, um sicherzustellen, dass nur eine einzige Instanz von Claimloader läuft. Anschließend verschiebt es sich selbst und die für das DLL-Sideloading verwendete EXE-Datei seiner Prozesse in ein neues Verzeichnis unter einem neuen Namen, zum Beispiel:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Als nächstes verwendet Claimloader die API SHSetValueA(), um die Persistenz der EXE über einen unten aufgeführten Registrierungsschlüssel herzustellen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dadurch wird die EXE-Datei jedes Mal ausgeführt, wenn sich der aktuelle Benutzer am Computer anmeldet. Der Prozess wird mit einem vordefinierten Argument ausgeführt, beispielsweise „Lizenzierung“, mit dem die Hauptfunktionalität von Claimloader aufgerufen wird.

Bei der zweiten Ausführung des Claimloaders mit dem angegebenen Argument beginnt die neueste Variante des Claimloaders mit der Entschlüsselung einer eingebetteten Nutzlast mittels des TripleDES-Algorithmus. Dieser Algorithmus wurde nur in Claimloader-Varianten ab Ende April 2025 beobachtet. Die aktualisierten Varianten verwenden auch XOR-verschlüsselte API-Namen und native APIs LdrLoadDll() und LdrGetProcedureAddress(), um Importe dynamisch aufzulösen.

Nach fünf Sekunden Schlaf weist Claimloader einen neuen ausführbaren Puffer im Speicher zu und kopiert die Shellcode-Nutzlast hinein. Die Malware schläft für weitere 10 Sekunden und ruft dann die API-Funktionen GetDC() und EnumFontsW() auf, mit denen sie die Nutzlast im Speicher ausführt, indem sie ihren Einstiegspunkt als Callback-Funktion übergibt.

Veröffentlichen Sie Backdoor

Die Shellcode-Nutzlast von Pubload wurde seit unserer letzten Meldung nicht aktualisiert. Es enthält eine einfache Selbstentschlüsselungsroutine, bevor die Hauptfunktionen ausgeführt werden. Pubload ist eine einfache Backdoor, mit der verschlüsselte Shellcode-Nutzlasten heruntergeladen und in den Speicher eingefügt werden können. Eine der ersten Payloads ist das Pubshell-Modul, das eine Reverse-Shell implementiert, um den sofortigen Zugriff auf den infizierten Computer zu ermöglichen.

Zusammenfassung

Hive0154 ist nach wie vor ein äußerst fähiger Bedrohungsakteur mit mehreren aktiven Subclustern und häufigen Entwicklungszyklen. X-Force schätzt mit großer Sicherheit, dass China-nahe Unternehmen wie Hive0154 ihr großes Malware-Arsenal weiter verfeinern und öffentliche sowie private Unternehmen weltweit ins Visier nehmen werden. Organisationen, die von der Aktivität von Hive0154 bedroht sind, sollten ihre defensiven Sicherheitsvorkehrungen verstärken und hinsichtlich der in diesem Bericht genannten Techniken wachsam bleiben.

Empfehlungen

  • Seien Sie vorsichtig bei E-Mails, die einen Download-Link für Google Drive enthalten
  • Seien Sie beim Umgang mit heruntergeladenen Archiven vorsichtig, selbst wenn diese die erwarteten Dokumente enthalten. Schulen Sie Ihre Mitarbeiter darin, unerwartete Dateiendungen anzuzeigen und zu erkennen.
  • Überwachen und suchen Sie in Netzwerken nach TLS 1.2-Anwendungsdatenpaketen (Header: 17 03 03) ohne vorherigen TLS-Handshake als Indiz für ein Pubload- oder Toneshell-Beacon.
  • Überwachen und suchen Sie nach USB-Laufwerken mit verdächtigen ausführbaren Dateien, DLLs und versteckten Verzeichnissen, die auf ein mit einem USB-Wurm infiziertes Gerät hindeuten könnten.
  • Überwachen und suchen Sie nach verdächtigen und unbekannten Verzeichnissen in C:\ProgramData\*, die eine legitime EXE-Datei enthalten, die anfällig für DLL-Sideloading ist, sowie eine entsprechende DLL-Datei.
  • Überwachen und identifizieren Sie Persistenztechniken in der Registrierung und in geplanten Aufgaben.
  • Überwachen Sie ungewöhnliche Netzwerk-, Persistenz- oder Dateiänderungsaktivitäten, die von scheinbar harmlosen Prozess-Executables ausgehen, die eine bösartige DLL sideloaden

Indikatoren für Kompromittierung

Indikator

Art des Indikators

Kontext

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

Claimloader-DLL

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

Claimloader-DLL

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

Claimloader-DLL

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

Claimloader-DLL

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

Claimloader-DLL

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

Bewaffnetes Archiv

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

Bewaffnetes Archiv

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

Bewaffnetes Archiv

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
ff874c

SHA256

Bewaffnetes Archiv

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

Bewaffnetes Archiv

218.255.96[.]245:443

IPv4

C2-Server veröffentlichen

IBM X-Force Premier Threat Intelligence ist nun von Filigran in OpenCTI integriert und liefert umsetzbare Bedrohungsinformationen zu dieser Bedrohungsaktivität und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den X-Force OpenCTI Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Erhalten Sie noch heute eine 30-tägige X-Force Premier Threat Intelligence-Studie!

