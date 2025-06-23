Im Juni 2025 entdeckten Forscher von IBM X-Force den mit China verbündeten Bedrohungsakteur Hive0154, der Pubload-Malware mit Funktion Dokumenten und Dateinamen verbreitete, die auf die tibetische Gemeinschaft abzielten. Der Streit um die tibetische Souveränität wird von chinesischen Bedrohungsgruppen bei ihren Cyberoperationen häufig angeführt. Die jüngste Kampagne fiel mit den Aktivitäten im Vorfeld eines wichtigen Ereignisses für die tibetische Gemeinschaft zusammen, dem 90.
Mehrere beobachtete Köder behandeln folgende Themen im Zusammenhang mit der tibetischen Gemeinschaft:
Hive0154 ist ein etablierter, mit China verbundener Bedrohungsakteur, der über ein umfangreiches Malware-Arsenal, konsistente Techniken und gut dokumentierte Aktivitäten in den letzten Jahren verfügt. Die Gruppe besteht aus mehreren Subclustern und verübt Cyberangriffe gegen öffentliche und private Unternehmen, darunter Think Tanks, politische Gruppen, Regierungsbehörden und Einzelpersonen. Die Beobachtung von X-Force bei der Verwendung mehrerer benutzerdefinierter Malware-Loader, Backdoors und USB-Wurmfamilien durch die Gruppe zeigt deren fortschrittliche Funktionen. Die Aktivität von Hive0154 überschneidet sich mit den öffentlich gemeldeten Bedrohungsakteuren Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris und Earth Preta.
X-Force hat zuvor umfangreiche Aktivitäten beschrieben, die einem Untercluster von Hive0154 zugeschrieben werden und von Ende 2024 bis Anfang 2025 die USA, die Philippinen, Pakistan und Taiwan in einer mutmaßlichen Spionagekampagne ins Visier nahmen. Die Gruppe nutzt waffenfähige Archive, die aus Spear-Phishing-E-Mails stammen, um Einrichtungen wie die Regierung, das Militär und das diplomatische Personal der Philippinen, der Vereinigten Staaten und Pakistans anzugreifen. Die Phishing-E-Mails, Archive und bösartigen Dateinamen verwenden Bezüge zu verschiedenen geopolitischen Themen, die auf die jeweilige Zielgruppe zugeschnitten sind, um bei den Empfängern ein gesteigertes Interesse zu wecken. Die E-Mails enthalten häufig Google Drive-URLs, über die ZIP- oder RAR-Archive mit Schadsoftware heruntergeladen werden, wenn der Empfänger auf den Link klickt.
Die Archive enthalten eine harmlose ausführbare Datei, die anfällig für DLL-Sideloading ist, sowie eine bösartige Claimloader-DLL. Die ausführbaren Dateien werden typischerweise umbenannt, um die Opfer dazu zu verleiten, sie zu öffnen, wodurch die Infektionskette sofort ausgelöst wird. Die Claimloader-Malware etabliert Persistenz, entschlüsselt ihre eingebettete Pubload-Nutzlast und injiziert sie in den Speicher. Pubload lädt weitere PubShell herunter, eine leichtgewichtige Backdoor, die den sofortigen Zugriff auf die Maschine über eine Reverse-Shell ermöglicht.
Als die Kampagne begann (21. Mai), war der untenstehende WPCT-Lock wahrscheinlich ein Hinweis auf die bevorstehende Tagung, die vom 2. bis 4. Juni in Tokio, Japan, stattfand.
Name des Köders
Land des Einreichers
Claimloader DLL SHA256
Datum
(WPCT)-ICT&CTA_Conference
Indien
2bd60685299c62ab
21. Mai 2025
Der Kongress findet normalerweise in den USA oder Europa statt und wurde zum ersten Mal in Japan veranstaltet. Insgesamt nahmen 142 Parlamentarier und Vertreter aus 29 Ländern teil, darunter Parlamentsmitglieder aus Belgien und Japan. Die chinesische Botschaft in Japan hat die Beteiligung der tibetischen Zentralverwaltung, die auch als tibetische Exilregierung bekannt ist, an dem Kongress scharf verurteilt. Die Konvention führte zu den Ergebnissen in der Tokio-Erklärung, in der die Repressionen der chinesischen Regierung in der Region Tibet verurteilt und internationale Gesetze zum Schutz der kulturellen und religiösen Freiheit Tibets gefordert wurden. X-Force-Forscher entdeckten, dass die Hive0154-Kampagne vor und nach der Konvention unterschiedliche Köder entwickelte.
Nach der Konvention wurden mehrere Erklärungen herausgegeben, darunter Wise Action Plans zu Tibet. Hive0154 hat es wahrscheinlich von der Website kopiert und in ein harmloses Microsoft Word-Dokument (DOCX) innerhalb eines präparierten Archivs eingefügt. Das Archiv enthält außerdem Artikel, die direkt von verschiedenen tibetischen Websites (hier und hier) zum Thema der Konvention kopiert wurden, sowie authentische Fotos von der Konvention. Das Vorhandensein legitimer Artikel und Fotos unter den bewaffneten ausführbaren Dateien mit demselben Namen wird die Opfer wahrscheinlich dazu bringen, versehentlich eine der EXE-Dateien zu öffnen und unwissentlich die Infektion auszulösen.
„9th WPCT Region-Wise Action Plans on Tibet.exe“:
„Tibet in Focus as Global Lawmakers Convene in Tokyo.exe“
Fotos von der Konferenz, die als Köder verwendet wurden: „9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe“
In einer anderen Kampagne entdeckte X-Force weitere bösartige Dateien zum Thema Tibet. Diese Dateien haben Namen mit Themen, die für die tibetische Gemeinschaft von Interesse sind, wie bilinguale Bildung in Tibet oder der Titel eines kürzlich veröffentlichten Buches des Dalai Lama. Die Auswahl solcher Themen wurde wahrscheinlich so konzipiert, dass die Empfänger dazu verleitet werden, empfänglich zu sein und auf die Datei zu klicken. Es ist bemerkenswert, dass die Proben mit Bezug zu Tibet aus Indien abgesendet wurden, wo die tibetische Regierung derzeit operiert, und das deutet darauf hin, dass die Empfänger der Dateien sie möglicherweise an VirusTotal abgesendet haben. In einer parallelen Kampagne entdeckte X-Force eine Datei, die wahrscheinlich auf die U.S. Navy abzielt und in der möglicherweise laufende Arbeitsgruppentreffen zwischen der U.S. Navy und anderen Parteien diskutiert werden.
Name des Köders
Land des Einreichers
Claimloader DLL SHA256
Datum
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
USA
c80dfc678570bde7c
17. April 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(aus dem Tibetischen übersetzt: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)
Indien
93f1fd31e197a58b03c
26. Mai 2025
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
Indien
3e7384c5e7c5764258
28. Mai 2025
(USPACFLT) Working_Group_
USA
8cd4324e1e764aafba
9. Juni 2025
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (aus dem Tibetischen übersetzt: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): Das Thema ist für die tibetische Gemeinschaft von großer Bedeutung, und die kulturelle Assimilation in Tibet wurde von Human Rights Watch in seinem Bericht erwähnt.
„Voice for the Voiceless photos/Voice for the Voiceless photos.exe“: Dies ist eine Anspielung auf ein Buch , das vom tibetischen Exilführer, dem Dalai Lama, im März 2025 veröffentlicht wurde. Er schreibt über seinen Dialog mit chinesischen Führungskräften bezüglich der Unabhängigkeit Tibets.
„DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe“: Diese Datei könnte ein Verweis auf das Bergbauabkommen zwischen der Demokratischen Republik Kongo (DRC) und den USA sein und auf die Bemühungen, die DRC für ein solches Abkommen zu gewinnen, nachdem sie beobachtet hat, dass die Ukraine ein ähnliches Abkommen mit den USA abgeschlossen hat. Ab Juni 2025 steht die DRC kurz vor dem Abschluss des Abkommens mit den USA als Gegenleistung für militärische und diplomatische Hilfe gegen die M23-Rebellen, die vom benachbarten Ruanda unterstützt werden.
„(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the Conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe“: Dies könnte sich auf die Pazifikflotte der US Navy und deren Outreach-Aktivitäten für die Pazifikländer beziehen. Die Flotte stellt Seestreitkräfte für das US-Indo-Pazifik-Kommando bereit und kann im Falle eines Konflikts in Taiwan zum Einsatz kommen.
Claimloader ist eine Familie von Loadern, die sich im Laufe der letzten Jahre erheblich weiterentwickelt haben. Sie enthalten eine verschlüsselte Shellcode-Nutzlast, die zur Laufzeit entschlüsselt und injiziert wird. Unser vorheriger Blog liefert weitere technische Details zu früheren Varianten, die von Hive0154 verwendet wurden.
Bei der ersten Ausführung erstellt Claimloader zunächst ein neues Mutex-Objekt, um sicherzustellen, dass nur eine einzige Instanz von Claimloader läuft. Anschließend verschiebt es sich selbst und die für das DLL-Sideloading verwendete EXE-Datei seiner Prozesse in ein neues Verzeichnis unter einem neuen Namen, zum Beispiel:
Als nächstes verwendet Claimloader die API SHSetValueA(), um die Persistenz der EXE über einen unten aufgeführten Registrierungsschlüssel herzustellen:
Dadurch wird die EXE-Datei jedes Mal ausgeführt, wenn sich der aktuelle Benutzer am Computer anmeldet. Der Prozess wird mit einem vordefinierten Argument ausgeführt, beispielsweise „Lizenzierung“, mit dem die Hauptfunktionalität von Claimloader aufgerufen wird.
Bei der zweiten Ausführung des Claimloaders mit dem angegebenen Argument beginnt die neueste Variante des Claimloaders mit der Entschlüsselung einer eingebetteten Nutzlast mittels des TripleDES-Algorithmus. Dieser Algorithmus wurde nur in Claimloader-Varianten ab Ende April 2025 beobachtet. Die aktualisierten Varianten verwenden auch XOR-verschlüsselte API-Namen und native APIs LdrLoadDll() und LdrGetProcedureAddress(), um Importe dynamisch aufzulösen.
Nach fünf Sekunden Schlaf weist Claimloader einen neuen ausführbaren Puffer im Speicher zu und kopiert die Shellcode-Nutzlast hinein. Die Malware schläft für weitere 10 Sekunden und ruft dann die API-Funktionen GetDC() und EnumFontsW() auf, mit denen sie die Nutzlast im Speicher ausführt, indem sie ihren Einstiegspunkt als Callback-Funktion übergibt.
Die Shellcode-Nutzlast von Pubload wurde seit unserer letzten Meldung nicht aktualisiert. Es enthält eine einfache Selbstentschlüsselungsroutine, bevor die Hauptfunktionen ausgeführt werden. Pubload ist eine einfache Backdoor, mit der verschlüsselte Shellcode-Nutzlasten heruntergeladen und in den Speicher eingefügt werden können. Eine der ersten Payloads ist das Pubshell-Modul, das eine Reverse-Shell implementiert, um den sofortigen Zugriff auf den infizierten Computer zu ermöglichen.
Hive0154 ist nach wie vor ein äußerst fähiger Bedrohungsakteur mit mehreren aktiven Subclustern und häufigen Entwicklungszyklen. X-Force schätzt mit großer Sicherheit, dass China-nahe Unternehmen wie Hive0154 ihr großes Malware-Arsenal weiter verfeinern und öffentliche sowie private Unternehmen weltweit ins Visier nehmen werden. Organisationen, die von der Aktivität von Hive0154 bedroht sind, sollten ihre defensiven Sicherheitsvorkehrungen verstärken und hinsichtlich der in diesem Bericht genannten Techniken wachsam bleiben.
Indikator
Art des Indikators
Kontext
2bd60685299c62abe500fe80e
SHA256
Claimloader-DLL
c80dfc678570bde7c19df21877a1
SHA256
Claimloader-DLL
93f1fd31e197a58b03c6f5f774c138
SHA256
Claimloader-DLL
3e7384c5e7c5764258947721c77
SHA256
Claimloader-DLL
8cd4324e1e764aafba4ea0394a8
SHA256
Claimloader-DLL
7979686bf73c2988ab5d57f9605
SHA256
Bewaffnetes Archiv
ea991719885b2fe91502218ff3be1
SHA256
Bewaffnetes Archiv
6e408aada775eaf19c524792344c
SHA256
Bewaffnetes Archiv
57770ede7015734e2d881430423b
SHA256
Bewaffnetes Archiv
fb33f222b3d4d5edc9b743e6428
SHA256
Bewaffnetes Archiv
218.255.96[.]245:443
IPv4
C2-Server veröffentlichen
