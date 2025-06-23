En junio de 2025, los investigadores de IBM X-Force descubrieron al actor de amenazas Hive0154, que difundía el malware Pubload con documentos señuelo y nombres de archivo dirigidos a la comunidad tibetana. Los grupos de amenazas chinos suelen invocar la disputa por la soberanía tibetana en sus operaciones, y la última campaña coincidió con las actividades previas a un importante evento para la comunidad tibetana, el 90 cumpleaños del Dalai Lama.
Varios señuelos observados presentan las siguientes características relacionadas con la comunidad tibetana:
Hive0154 es un actor de amenazas bien establecido alineado con China con un gran arsenal de malware, técnicas consistentes y actividad bien documentada en los últimos años. El grupo está compuesto por varios subgrupos y lleva a cabo ciberataques contra organizaciones públicas y privadas, entre las que se incluyen think tanks, grupos políticos, organismos gubernamentales y particulares. La observación, por parte de X-Force, del uso de múltiples cargadores de malware personalizados, puertas traseras y familias de gusanos USB por parte del grupo, pone de manifiesto sus avanzadas capacidades. La actividad de Hive0154 se superpone con actores de amenazas reportados públicamente como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris y Earth Preta.
X-Force detalló previamente una amplia actividad atribuida a un subgrupo de Hive0154 que tenía como objetivo Estados Unidos, Filipinas, Pakistán y Taiwán en una presunta campaña de espionaje entre finales de 2024 y principios de 2025. El grupo utiliza archivos armados que provienen de correos electrónicos de spear phishing para apuntar a entidades que incluyen el gobierno, el personal militar y diplomático de Filipinas, Estados Unidos y Pakistán. Los correos electrónicos de phishing, los archivos y los nombres de archivos maliciosos utilizan referencias a diversos temas geopolíticos adaptados a su público específico para suscitar un mayor interés por parte de los destinatarios. Los correos electrónicos suelen incluir direcciones URL de Google Drive que descargan archivos ZIP o RAR maliciosos si el destinatario hace clic en el enlace.
Los archivos contienen un ejecutable benigno vulnerable a la carga lateral de DLL y una DLL maliciosa de Claimloader. Los ejecutables suelen renombrarse para engañar a las víctimas y conseguir que los abran, lo que desencadenaría inmediatamente la cadena de infección. El malware Claimloader establece la persistencia, descifra su carga útil Pubload incrustada e inyecta en la memoria. Pubload también descarga Pubshell, una puerta trasera ligera que facilita el acceso inmediato a la máquina a través de un shell inverso.
En el momento en que comenzó la campaña (21 de mayo), el señuelo del WPCT que aparece a continuación era probablemente una referencia a la próxima convención que se celebrará en Tokio, Japón, del 2 al 4 de junio.
Nombre del señuelo
País del remitente
Claimloader DLL SHA256
Fecha
(WPCT)-ICT&CTA_Conference
India
2bd60685299c62ab
21 de mayo de 2025
La convención suele celebrarse en EE. UU o Europa, y se celebró por primera vez en Japón. En total, asistieron 142 parlamentarios y representantes de 29 países, incluidos miembros parlamentarios de Bélgica y Japón. La embajada china en Japón emitió una enérgica denuncia por la participación en la convención de la Administración Central Tibetana, también conocida como el Gobierno tibetano en el exilio. La convención dio lugar a la Declaración de Tokio, en la que se condenaba la represión del gobierno chino en la región del Tíbet y se hacía un llamado a la legislación internacional para salvaguardar la libertad cultural y religiosa de los tibetanos. Los investigadores de X-Force descubrieron la campaña Hive0154 ideando diferentes señuelos antes y después de la convención.
Tras la convención, se emitieron varias declaraciones, entre ellas los Planes de Acción Sabios sobre el Tíbet. Es probable que Hive0154 lo copiara de un sitio web y lo introdujera en un documento de Microsoft Word (DOCX) benigno dentro de un archivo malicioso. El archivo contiene además artículos copiados directamente de varios sitios web tibetanos (aquí y aquí) relacionados con la convención, así como fotos auténticas de la convención. Es probable que la presencia de artículos y fotos legítimos entre los ejecutables armados que comparten los mismos nombres engañe a las víctimas para que abran accidentalmente uno de los archivos EXE y, sin saberlo, desencadenen la infección.
"9th WPCT Region-Wise Action Plans on Tibet.exe":
"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":
Fotos de la convención utilizadas como señuelo: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"
En otra campaña, X-Force descubrió otros archivos maliciosos con temática del Tíbet. Estos archivos tienen nombres con temas de interés para la comunidad tibetana, como la educación bilingüe en el Tíbet o el título de un libro recientemente publicado por el Dalai Lama. La elección de este tipo de temas probablemente se diseñó para atraer a los destinatarios a mostrarse receptivos y hacer clic en el archivo. Cabe destacar que las muestras relacionadas con el Tíbet fueron enviadas desde la India, donde actualmente opera el Gobierno tibetano en el exilio, lo que sugiere que los destinatarios de los archivos podrían haberlos enviado a VirusTotal. En una campaña paralela, X-Force descubrió un archivo probablemente dirigido a la Marina de EE. UU., posiblemente discutiendo reuniones de grupos de trabajo en curso entre la Marina de EE. UU. y otras partes.
Nombre del señuelo
País del remitente
DLL de Claimloader SHA256
Fecha
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
Estados Unidos
c80dfc678570bde7c
17 de abril de 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(traducido del tibetano: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)
India
93f1fd31e197a58b03c
26 de mayo de 2025
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
India
3e7384c5e7c5764258
28 de mayo de 2025
(USPACFLT) Working_Group_
Estados Unidos
8cd4324e1e764aafba
9 de junio de 2025
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (traducido del tibetano: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): El tema es de gran importancia para la comunidad tibetana y la asimilación cultural en el Tíbet ha sido señalada por Human Rights Watch en su informe.
“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Se trata de una referencia a un libro publicado por el líder tibetano en el exilio, el Dalai Lama, en marzo de 2025. Escribe sobre su diálogo con los líderes chinos respecto a la independencia del Tíbet.
“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Este expediente puede ser una referencia al acuerdo minero de la República Democrática del Congo (RDC) con EE. UU. y a los esfuerzos por obtener su apoyo para dicho acuerdo tras observar a Ucrania llegar a un acuerdo similar con EE. UU. En junio de 2025, la RDC está a punto de finalizar el acuerdo con EE. UU. a cambio de asistencia militar y diplomática contra los rebeldes del M23 que cuentan con el apoyo de vecina de Ruanda.
“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Es posible que se trate de una referencia a la Flota del Pacífico de la Marina estadounidense y a sus actividades de acercamiento a los países de la cuenca del Pacífico. La flota proporciona fuerzas navales al Comando Indo-Pacífico de Estados Unidos y podría ser desplegada en caso de un conflicto en Taiwán.
Claimloader es una familia de cargadores que ha evolucionado significativamente en los últimos años. Contienen una carga útil de código de shell cifrada, que se descifra y se inyecta en tiempo de ejecución. Nuestro blog anterior proporciona más detalles técnicos sobre las variantes anteriores utilizadas por Hive0154.
En la primera ejecución, Claimloader comienza creando un nuevo objeto mutex para garantizar que solo se esté ejecutando una única instancia de Claimloader. A continuación, se mueve a sí mismo y al EXE de sus procesos utilizado para la carga lateral de DLL a un nuevo directorio con un nuevo nombre, como:
A continuación, Claimloader utiliza la API SHSetValueA() para establecer la persistencia del EXE mediante una clave de registro que aparece a continuación:
Esto hará que el EXE se ejecute cada vez que el usuario actual se conecte a la máquina. El proceso se ejecuta con un argumento predefinido, como "Licensing", que se utiliza para invocar la funcionalidad principal de Claimloader.
En la segunda ejecución de Claimloader con el argumento especificado, la última variante de Claimloader comienza a descifrar una carga útil incrustada a través del algoritmo TripleDES. Este algoritmo solo se ha observado en las variantes de Claimloader a partir de finales de abril de 2025. Las variantes actualizadas también utilizan nombres de API cifrados con XOR y las API nativas LdrLoadDll() y LdrGetProcedureAddress() para resolver las importaciones de forma dinámica.
Después de dormir durante cinco segundos, Claimloader asigna un nuevo búfer ejecutable en la memoria y copia la carga útil del shellcode en él. El malware duerme durante otros 10 segundos y luego llama a las funciones GetDC() y EnumFontsW() de la API, que utiliza para ejecutar la carga útil en la memoria pasando su punto de entrada como función de devolución de llamada.
La carga útil del shellcode de Pubload no ha sufrido ninguna actualización desde nuestro último informe. Contiene una sencilla rutina de autodescifrado antes de ejecutar su funcionalidad principal. Pubload es una puerta trasera sencilla capaz de descargar en la memoria cargas útiles de código shell cifradas. Una de las primeras cargas útiles es el módulo Pubshell, que implementa un shell inverso para facilitar el acceso inmediato a la máquina infectada.
Hive0154 sigue siendo un actor de amenazas muy activo, con múltiples subgrupos en funcionamiento y ciclos de desarrollo frecuentes. X-Force evalúa con gran confianza que los grupos alineados con China como Hive0154 continuarán perfeccionando su gran arsenal de malware y apuntando a organizaciones públicas y privadas de todo el mundo. Las entidades en riesgo de actividad de Hive0154 deben mantener un mayor estado de seguridad defensiva y permanecer vigilantes con respecto a las técnicas mencionadas en este informe.
Indicador
Tipo de indicador
Contexto
2bd60685299c62abe500fe80e
SHA256
Claimloader DLL
c80dfc678570bde7c19df21877a1
SHA256
Claimloader DLL
93f1fd31e197a58b03c6f5f774c138
SHA256
Claimloader DLL
3e7384c5e7c5764258947721c77
SHA256
Claimloader DLL
8cd4324e1e764aafba4ea0394a8
SHA256
Claimloader DLL
7979686bf73c2988ab5d57f9605
SHA256
Archivo malicioso
EA991719885b2fe91502218FF3BE1
SHA256
Archivo malicioso
6e408aada775eaf19c524792344c
SHA256
Archivo malicioso
57770ede7015734e2d881430423b
SHA256
Archivo malicioso
fb33f222b3d4d5edc9b743e6428
SHA256
Archivo malicioso
218.255.96[.]245:443
ipv4
Servidor Pubload C2
