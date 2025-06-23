Etiquetas
Hive0154, también conocido como Mustang Panda, se centra en la comunidad tibetana para implementar la puerta trasera de Pubload

Vista trasera de un hombre trabajando en un ordenador de escritorio, con monitores y equipos detrás

Resumen

En junio de 2025, los investigadores de IBM X-Force descubrieron al actor de amenazas Hive0154, que difundía el malware Pubload con documentos señuelo y nombres de archivo dirigidos a la comunidad tibetana. Los grupos de amenazas chinos suelen invocar la disputa por la soberanía tibetana en sus operaciones, y la última campaña coincidió con las actividades previas a un importante evento para la comunidad tibetana, el 90 cumpleaños del Dalai Lama.

Varios señuelos observados presentan las siguientes características relacionadas con la comunidad tibetana:

  • La 9ª Convención Mundial de Parlamentarios sobre el Tíbet (WPCT), celebrada del 06/02 al 06/04 en Tokio, Japón.
  • La política de Formación de China en la Región Autónoma del Tíbet (TAR). El tema es de gran importancia para la comunidad tibetana, y la asimilación cultural en el Tíbet ha sido señalada por Human Rights Watch en su informe
  • El libro de marzo de 2025 Voz para los Sin Voz, publicado por el líder tibetano en el exilio, el Dalai Lama. El libro analiza el diálogo del Dalai Lama con los líderes chinos sobre la independencia del Tíbet.

Principales conclusiones

  • El actor de amenazas alineado con China, Hive0154, ha difundido numerosos señuelos de phishing en campañas específicas a lo largo de 2025 para implementar la puerta trasera Pubload
  • Hive0154 diseña nombres de archivo que hacen referencia a diversos temas geopolíticos adaptados para despertar un mayor interés entre los destinatarios objetivo
  • En mayo de 2025, X-Force observó que se centraba cada vez más en temas diseñados para atacar a la comunidad tibetana
  • Las campañas de phishing hacen referencia a la 9.ª Convención Mundial de Parlamentarios sobre el Tíbet (WPCT) celebrada en Tokio en junio, a la política de Formación de China en la Región Autónoma del Tíbet (TAR) y al libro de 2025 Voice for the Voiceless por el Dalai Lama
Resumen de Hive0154

Hive0154 es un actor de amenazas bien establecido alineado con China con un gran arsenal de malware, técnicas consistentes y actividad bien documentada en los últimos años. El grupo está compuesto por varios subgrupos y lleva a cabo ciberataques contra organizaciones públicas y privadas, entre las que se incluyen think tanks, grupos políticos, organismos gubernamentales y particulares. La observación, por parte de X-Force, del uso de múltiples cargadores de malware personalizados, puertas traseras y familias de gusanos USB por parte del grupo, pone de manifiesto sus avanzadas capacidades. La actividad de Hive0154 se superpone con actores de amenazas reportados públicamente como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris y Earth Preta.

Actividad anterior

X-Force detalló previamente una amplia actividad atribuida a un subgrupo de Hive0154 que tenía como objetivo Estados Unidos, Filipinas, Pakistán y Taiwán en una presunta campaña de espionaje entre finales de 2024 y principios de 2025. El grupo utiliza archivos armados que provienen de correos electrónicos de spear phishing para apuntar a entidades que incluyen el gobierno, el personal militar y diplomático de Filipinas, Estados Unidos y Pakistán. Los correos electrónicos de phishing, los archivos y los nombres de archivos maliciosos utilizan referencias a diversos temas geopolíticos adaptados a su público específico para suscitar un mayor interés por parte de los destinatarios. Los correos electrónicos suelen incluir direcciones URL de Google Drive que descargan archivos ZIP o RAR maliciosos si el destinatario hace clic en el enlace.

Ejemplo de correo electrónico de phishing Hive0154 de una campaña en abril de 2025.
Fig. 1: Ejemplo de correo electrónico de phishing Hive0154 de una campaña en abril de 2025.

Los archivos contienen un ejecutable benigno vulnerable a la carga lateral de DLL y una DLL maliciosa de Claimloader. Los ejecutables suelen renombrarse para engañar a las víctimas y conseguir que los abran, lo que desencadenaría inmediatamente la cadena de infección. El malware Claimloader establece la persistencia, descifra su carga útil Pubload incrustada e inyecta en la memoria. Pubload también descarga Pubshell, una puerta trasera ligera que facilita el acceso inmediato a la máquina a través de un shell inverso. 

Diagrama de la cadena de infección de Pubload
Fig. 2: Cadena de infección de Pubload

9ª Convención Mundial de Parlamentarios sobre el Tíbet (WPCT)

En el momento en que comenzó la campaña (21 de mayo), el señuelo del WPCT que aparece a continuación era probablemente una referencia a la próxima convención que se celebrará en Tokio, Japón, del 2 al 4 de junio.

Nombre del señuelo

 País del remitente

 Claimloader DLL SHA256

 Fecha

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

 India

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21 de mayo de 2025

La convención suele celebrarse en EE. UU o Europa, y se celebró por primera vez en Japón. En total, asistieron 142 parlamentarios y representantes de 29 países, incluidos miembros parlamentarios de Bélgica y Japón. La embajada china en Japón emitió una enérgica denuncia por la participación en la convención de la Administración Central Tibetana, también conocida como el Gobierno tibetano en el exilio. La convención dio lugar a la Declaración de Tokio, en la que se condenaba la represión del gobierno chino en la región del Tíbet y se hacía un llamado a la legislación internacional para salvaguardar la libertad cultural y religiosa de los tibetanos. Los investigadores de X-Force descubrieron la campaña Hive0154 ideando diferentes señuelos antes y después de la convención.

Tras la convención, se emitieron varias declaraciones, entre ellas los Planes de Acción Sabios sobre el Tíbet. Es probable que Hive0154 lo copiara de un sitio web y lo introdujera en un documento de Microsoft Word (DOCX) benigno dentro de un archivo malicioso. El archivo contiene además artículos copiados directamente de varios sitios web tibetanos (aquí y aquí) relacionados con la convención, así como fotos auténticas de la convención. Es probable que la presencia de artículos y fotos legítimos entre los ejecutables armados que comparten los mismos nombres engañe a las víctimas para que abran accidentalmente uno de los archivos EXE y, sin saberlo, desencadenen la infección.

"9th WPCT Region-Wise Action Plans on Tibet.exe": 

Captura de pantalla de un archivo DOCX inofensivo empaquetado en un archivo comprimido malicioso junto con archivos EXE que tienen el mismo nombre
Fig. 3: Captura de pantalla de un DOCX benigno empaquetado en un archivo armado junto con EXE que comparten el mismo nombre de archivo

"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":

Captura de pantalla de un archivo DOCX inofensivo empaquetado en un archivo comprimido malicioso junto con archivos EXE que tienen el mismo nombre
Fig. 4: Captura de pantalla de DOCX benigno empaquetado en un archivo armado junto con EXE que comparten el mismo nombre de archivo (Fuente: Tibet.net)

Fotos de la convención utilizadas como señuelo: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"

Líderes tibetanos sentados en un largo atril con micrófonos frente a periodistas y ciudadanos Fig. 5: Imagen JPG empaquetada en un archivo armado (Fuente: Tibet.net)
Fotos individuales de líderes tibetanos y de otros países en una conferencia tibetana en un collage
Fig. 6: Imágenes de la convención empaquetadas en un archivo armado junto con EXE y DLL maliciosos (Fuente: Tibet.net)

Más actividades contra la comunidad tibetana y los Estados Unidos

En otra campaña, X-Force descubrió otros archivos maliciosos con temática del Tíbet. Estos archivos tienen nombres con temas de interés para la comunidad tibetana, como la educación bilingüe en el Tíbet o el título de un libro recientemente publicado por el Dalai Lama. La elección de este tipo de temas probablemente se diseñó para atraer a los destinatarios a mostrarse receptivos y hacer clic en el archivo. Cabe destacar que las muestras relacionadas con el Tíbet fueron enviadas desde la India, donde actualmente opera el Gobierno tibetano en el exilio, lo que sugiere que los destinatarios de los archivos podrían haberlos enviado a VirusTotal. En una campaña paralela, X-Force descubrió un archivo probablemente dirigido a la Marina de EE. UU., posiblemente discutiendo reuniones de grupos de trabajo en curso entre la Marina de EE. UU. y otras partes.

Nombre del señuelo

País del remitente

DLL de Claimloader SHA256

Fecha

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

Estados Unidos

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

 17 de abril de 2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(traducido del tibetano: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)

India

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

 26 de mayo de 2025

Voice for the Voiceless photos/Voice for the Voiceless photos.exe

India

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28 de mayo de 2025

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

Estados Unidos

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

 9 de junio de 2025

“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (traducido del tibetano: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): El tema es de gran importancia para la comunidad tibetana y la asimilación cultural en el Tíbet ha sido señalada por Human Rights Watch en su informe.

“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Se trata de una referencia a un libro publicado por el líder tibetano en el exilio, el Dalai Lama, en marzo de 2025. Escribe sobre su diálogo con los líderes chinos respecto a la independencia del Tíbet.

“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Este expediente puede ser una referencia al acuerdo minero de la República Democrática del Congo (RDC) con EE. UU. y a los esfuerzos por obtener su apoyo para dicho acuerdo tras observar a Ucrania llegar a un acuerdo similar con EE. UU. En junio de 2025, la RDC está a punto de finalizar el acuerdo con EE. UU. a cambio de asistencia militar y diplomática contra los rebeldes del M23 que cuentan con el apoyo de vecina de Ruanda.

“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Es posible que se trate de una referencia a la Flota del Pacífico de la Marina estadounidense y a sus actividades de acercamiento a los países de la cuenca del Pacífico. La flota proporciona fuerzas navales al Comando Indo-Pacífico de Estados Unidos y podría ser desplegada en caso de un conflicto en Taiwán.

Detalles técnicos: actualizaciones de Claimloader

Claimloader es una familia de cargadores que ha evolucionado significativamente en los últimos años. Contienen una carga útil de código de shell cifrada, que se descifra y se inyecta en tiempo de ejecución. Nuestro blog anterior proporciona más detalles técnicos sobre las variantes anteriores utilizadas por Hive0154.

En la primera ejecución, Claimloader comienza creando un nuevo objeto mutex para garantizar que solo se esté ejecutando una única instancia de Claimloader. A continuación, se mueve a sí mismo y al EXE de sus procesos utilizado para la carga lateral de DLL a un nuevo directorio con un nuevo nombre, como:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

A continuación, Claimloader utiliza la API SHSetValueA() para establecer la persistencia del EXE mediante una clave de registro que aparece a continuación:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Esto hará que el EXE se ejecute cada vez que el usuario actual se conecte a la máquina. El proceso se ejecuta con un argumento predefinido, como "Licensing", que se utiliza para invocar la funcionalidad principal de Claimloader.

En la segunda ejecución de Claimloader con el argumento especificado, la última variante de Claimloader comienza a descifrar una carga útil incrustada a través del algoritmo TripleDES. Este algoritmo solo se ha observado en las variantes de Claimloader a partir de finales de abril de 2025. Las variantes actualizadas también utilizan nombres de API cifrados con XOR y las API nativas LdrLoadDll() y LdrGetProcedureAddress() para resolver las importaciones de forma dinámica.

Después de dormir durante cinco segundos, Claimloader asigna un nuevo búfer ejecutable en la memoria y copia la carga útil del shellcode en él. El malware duerme durante otros 10 segundos y luego llama a las funciones GetDC() y EnumFontsW() de la API, que utiliza para ejecutar la carga útil en la memoria pasando su punto de entrada como función de devolución de llamada.

Puerta trasera Pubload

La carga útil del shellcode de Pubload no ha sufrido ninguna actualización desde nuestro último informe. Contiene una sencilla rutina de autodescifrado antes de ejecutar su funcionalidad principal. Pubload es una puerta trasera sencilla capaz de descargar en la memoria cargas útiles de código shell cifradas. Una de las primeras cargas útiles es el módulo Pubshell, que implementa un shell inverso para facilitar el acceso inmediato a la máquina infectada.

Conclusión

Hive0154 sigue siendo un actor de amenazas muy activo, con múltiples subgrupos en funcionamiento y ciclos de desarrollo frecuentes. X-Force evalúa con gran confianza que los grupos alineados con China como Hive0154 continuarán perfeccionando su gran arsenal de malware y apuntando a organizaciones públicas y privadas de todo el mundo. Las entidades en riesgo de actividad de Hive0154 deben mantener un mayor estado de seguridad defensiva y permanecer vigilantes con respecto a las técnicas mencionadas en este informe.

Recomendaciones

  • Tenga cuidado con los correos electrónicos que contengan un enlace de descarga de Google Drive
  • Tenga cuidado con los archivos descargados, incluso si contienen los documentos esperados. Forme al personal para que sepa identificar las extensiones de archivo inesperadas.
  • Monitorice y busque en las redes paquetes de datos de aplicación TLS 1.2 (encabezado: 17 03 03) sin un protocolo de enlace TLS previo como señal de una baliza Pubload o Toneshell
  • Monitorice y busque unidades USB que contengan nombres de archivos ejecutables, DLL y directorios ocultos sospechosos, ya que estos pueden indicar que un dispositivo está infectado con un gusano USB
  • Monitorice y busque directorios sospechosos y desconocidos en C:\ProgramData\* que contengan un archivo EXE legítimo vulnerable al sideloading de DLL y la DLL correspondiente
  • Monitorice y busque técnicas de persistencia en el registro y las tareas programadas
  • Monitorice cualquier actividad inusual en la red, como la persistencia o la modificación de archivos procedentes de ejecutables de procesos que, en apariencia, son inofensivos, pero que descargan una DLL maliciosa

Indicadores de compromiso

Indicador

Tipo de indicador

Contexto

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

Claimloader DLL

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

Claimloader DLL

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

Claimloader DLL

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

Claimloader DLL

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

Claimloader DLL

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

Archivo malicioso

EA991719885b2fe91502218FF3BE1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

Archivo malicioso

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

Archivo malicioso

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
FF874C

SHA256

Archivo malicioso

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

Archivo malicioso

218.255.96[.]245:443

ipv4

Servidor Pubload C2

IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI by Filigran, brindando inteligencia de amenazas procesable sobre esta actividad de amenazas y más. Acceda a conocimientos sobre los actores de amenazas, el malware y los riesgos del sector. Instale el X-Force OpenCTI Connector para mejorar la detección y la respuesta, y refuerce su ciberseguridad con la experiencia de IBM X-Force. ¡Obtenga una prueba de 30 días de X-Force Premier Threat Intelligence hoy mismo!

