En juillet 2025, IBM X-Force a découvert un nouveau logiciel malveillant attribué à Hive0154, un acteur de la menace lié à la Chine. Cela inclut une variante de Toneshell mise à jour qui échappe aux détections et prend en charge plusieurs nouvelles fonctionnalités, ainsi qu’un nouveau ver USB appelé SnakeDisk, découvert à la mi-août. Le ver ne s’exécute que sur les appareils dont l’adresse IP est basée en Thaïlande et dépose la porte dérobée Yokai, découverte par Netskope en décembre 2024.
Hive0154 est un acteur de la menace bien établi, aligné sur la Chine, qui dispose d’un vaste arsenal de logiciels malveillants, de techniques cohérentes et d’une activité bien documentée au cours des dernières années. Le groupe se compose de plusieurs sous-clusters et mène des cyberattaques visant des organisations publiques et privées, y compris des think tanks, des groupes politiques, des agences gouvernementales et des particuliers. Les observations de X-Force® sur l’utilisation par le groupe de plusieurs chargeurs de logiciels malveillants personnalisés, de portes dérobées et de familles de vers USB illustrent leurs capacités de développement avancées. L’activité de Hive0154 recoupe celle d’acteurs de la menace publiquement signalés sous les noms de Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris et Earth Preta.
À la mi-2025, X-Force a observé plusieurs archives transformées en arme téléchargées sur VirusTotal depuis Singapour et la Thaïlande :
Nom de fichier
DLL malveillante
Serveur C2
Date
Meeting Venue Request Information.zip
Chargeur injectant le shellcode Pubload
188.208.141[.]
21 mai
Hotel Booking Request.7z
Toneshell8
146.70.29[.]
3 juillet
Cyber_Safety_
Toneshell8
146.70.29[.]
30 juillet
TNLA နှင့် အခြားတော်လှန်ရေးအင်အားစုများ.rar
(traduit du birman : « TNLA et autres forces révolutionnaires »)
Toneshell8
146.70.29[.]
30 juillet
Scan(08-02-205).zip
Toneshell8
146.70.29[.]
5 août
Notes.rar
Chargeur injectant le shellcode Pubload
188.208.141[.]
21 août
CallNotes.zip
Chargeur injectant du shellcode Toneshell7
146.70.29[.]
4 septembre
Hive0154 a été observé en train d'utiliser un nouveau chargeur pour injecter par réflexion soit Pubload, soit Toneshell7, ainsi que pour déployer directement la variante Toneshell8, plus obfusquée. La version la plus récente de Pubload a subi des modifications mineures et prend désormais en charge les serveurs C2 leurres et le téléchargement de charges utiles de shellcode via HTTP POST en plus du trafic TCP brut imitant TLS.
L’archive « CallNotes.zip », découverte en septembre, a été téléchargée à partir de Box Cloud Storage via un lien contenu dans un leurre PDF usurpant l’identité du ministère des Affaires étrangères du Myanmar :
À la mi-août, X-Force a également découvert SnakeDisk, un nouveau ver USB qui partage des points communs avec les variantes précédentes de Tonedisk. Le ver ne s’exécute que sur les appareils situés en Thaïlande, déterminé par leur adresse IP publique. SnakeDisk distribue la porte dérobée Yokai, qui a été publiquement reliée à plusieurs autres campagnes ciblant la Thaïlande par Netskope en décembre 2024.
Compte tenu de l’historique de l’utilisation de la porte dérobée Yokai contre la Thaïlande, la découverte du dernier ver USB a semblé coïncider avec les récents événements géopolitiques entourant la Thaïlande :
Traditionnellement, la République populaire de Chine (RPC) a été un bienfaiteur du Cambodge, lui fournissant des armes et investissant des milliards dans des projets d’infrastructure. Les récents événements géopolitiques ont pu inciter Hive0154 à lancer des opérations contre la Thaïlande. Le déploiement du ver USB SnakeDisk, configuré pour ne s’exécuter que sur des machines basées en Thaïlande, semble indiquer que Hive0154 pourrait chercher à pénétrer les systèmes de réseaux isolés, souvent employés dans les réseaux du gouvernement.
X-Force a observé pour la première fois la version 8 de Toneshell en mars 2025. Elle est très similaire dans son comportement à la version 7 précédente, mais contient des mises à jour mineures pour échapper à la détection statique et entraver l’analyse. Le changement le plus visible est l’inclusion de code inutile (junk code) dans les fonctions du logiciel malveillant. Ces sections de code inutile implémentent le comportement suivant :
Ces trois exemples de code se trouvent, par exemple, dans la fonction qui résout toutes les API :
Les développeurs de Toneshell8 ont également choisi de remplacer le Pseudo Random Number Generator (PRNG) par une implémentation personnalisée du Linear Congruential Generator (LCG) utilisant différentes constantes, par exemple :
Les PRNG sont utilisés dans Toneshell pour générer un identifiant de victime, des clés de chiffrement du trafic C2 et vérifier l’authenticité de la balise C2. La qualité des implémentations dans les échantillons de Toneshell8 est très variable. Le générateur ci-dessus, par exemple, est utilisé par les 4 échantillons listés ci-dessus et ne produit que 11 états différents pour la plupart des graines.
Enfin, les codes de réponse codés en dur envoyés au serveur C2, qui informent les opérateurs du statut de certaines commandes, sont désormais obfusqués en les calculant à partir de différents entiers codés en dur dans l’échantillon.
En juillet, X-Force a découvert une nouvelle variante de Toneshell, que nous appellerons Toneshell9. Elle contient des mises à jour importantes et n’est détectée par aucun moteur sur VirusTotal au moment de la rédaction (318a1ebc0692d1d012d20d306d6634b196cc387b1f4bc38f97dd437f117c7e20).
La nouvelle variante de Toneshell a été observée pour la première fois dans des archives RAR piégées contenant le logiciel « USB Safely Remove ». La structure du code semble être basée sur une variante dérivée de décembre 2024, qui contient la même configuration C2.
Comme les versions précédentes, Toneshell9 est exécuté en tant que DLL chargée latéralement. L’archive RAR malveillante contient un fichier BAT, lançant un exécutable légitime « USBSRService.ex » avec un argument de ligne de commande « -Embedding ». Une fois que la DLL Toneshell « EasyFuncs.dll » est chargée en mémoire et que l’exportation FS_RegActiveX est exécutée, elle commence par résoudre un premier ensemble d’API nécessaires à l’initialisation. Après avoir analysé l’argument « -Embedding », Toneshell lance son exécutable parent dans un nouveau processus avec l’argument « EvtSys ». Ce dernier argument déclenche le comportement principal de la DLL malveillante.
Toneshell commence par initialiser un nouvel objet client contenant les valeurs suivantes :
Elle résout ensuite le reste des API nécessaires via une fonction de hachage personnalisée et stocke les pointeurs de fonction dans une structure séparée. Ensuite, elle crée un nouvel événement « Windows External Module » qui agit comme un mutex pour empêcher plusieurs instances de s’exécuter sur la même machine.
Toneshell9 est parsemé de plusieurs sections de code inutile, qui récupèrent le nombre actuel de cycles CPU, enregistrent le résultat sous forme de chaîne de caractères et la désallouent ensuite.
Pour gérer et stocker les communications C2, les serveurs proxy, les balises et les charges utiles en mémoire, Toneshell instancie un objet volumineux de 129 Ko :
Contrairement aux variantes précédentes, Toneshell9 énumère les ruches de registre HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER et HKEY_USERS\.DEFAULT pour rechercher les serveurs proxy configurés localement.
Si un serveur est trouvé, le protocole de l’URL (http, https, ftp ou socks) et l’URL complète sont stockés sous forme de chaînes dans une liste d’objets.
Ensuite, Toneshell stocke le domaine de son serveur C2 et son adresse IP dans un vecteur de chaînes de caractères. La même adresse IP et le même port codés en dur sont directement stockés dans un tableau de structures SOCKADDR_IN. Le logiciel malveillant parcourt ensuite les chaînes des serveurs C2, résout l’adresse IP pour chacune d’elles et l’ajoute au même tableau de structures SOCKADDR_IN.
Comme observé dans les variantes précédentes, Toneshell procède au dépôt d’un fichier contenant un GUID de victime aléatoire de 16 octets généré via la fonction Windows _rand() :
Le GUID est également stocké dans une structure avec le chemin du fichier et le nom NetBIOS de la victime.
Les données ci-dessus sont utilisées pour construire un objet balise en mémoire. Toneshell9 effectue notamment des calculs sur la différence du nombre de cycles CPU (ticks) avant et après le comportement d’initialisation principal décrit ci-dessus. Cette valeur est normalisée et probablement utilisée pour détecter des anomalies de temps d’exécution susceptibles d’indiquer une exécution en bac à sable (sandbox) ou un débogage.
La clé XOR de 0x300 octets est générée via _rand() et utilisée pour chiffrer les 101 octets de données, à partir du décalage 0x300. Les données ci-dessus sont regroupées dans un faux paquet de données d’application TLS 1.2 au format suivant :
Pendant la boucle principale, Toneshell9 exécute une fonction pour établir une connexion socket à son serveur C2. Il commence par tenter de se connecter via la première structure SOCKADDR_IN. Si cela échoue, le logiciel malveillant tente d’établir une connexion socket via l’un des serveurs proxy récupérés dans le registre. Cette opération est tentée pour chacune des chaînes d’adresses C2, c’est-à-dire l’adresse IP et le domaine pour l’échantillon analysé ci-dessus.
Après avoir résolu l’adresse IP du serveur proxy et s’être connecté via un socket TCP, il règle d’abord les délais d’attente d’envoi et de réception à 1 minute. Ensuite, il envoie la requête de connexion suivante :
Si le serveur proxy renvoie un code d’état 2xx, la connexion a été établie avec succès et est prête pour le tunneling TCP brut. Pour vérifier la connexion avec son serveur C2, Toneshell9 utilise un protocole de handshake court, transmettant également l’adresse IP et le port du serveur au cours du processus. Si l’établissement de la liaison réussit, le handle du socket est stocké dans la structure C2_CONNECTION et les délais d’attente du socket sont définis sur 2 minutes. Toneshell envoie alors la première balise d'annonce via le socket.
Il attend une réponse similaire de la part de son serveur qui, hormis les 5 premiers octets, est chiffrée via la clé XOR transmise précédemment :
En utilisant un proxy déjà configuré sur un appareil infecté, Toneshell peut se fondre efficacement dans le reste du trafic réseau. Les plus grands environnements d’entreprise appliquent souvent le filtrage des sorties, n’autorisant le trafic que via des passerelles fiables, ce qui bloquerait les communications directes C2. La capacité supplémentaire de Toneshell à contourner ce filtrage lui permet de fonctionner dans des environnements réseau bien sécurisés.
À la réception de la première réponse C2, Toneshell démarre un nouveau thread qui envoie des balises de réponse de type heartbeat toutes les 30 secondes, avec le code de réponse 0x1 et une valeur shell_id aléatoire. Les balises de réponse ont un format très similaire :
Toneshell9 prend en charge les codes de commande suivants :
Coder
Description
2
Ignorez cette balise et attendez que la suivante se déclenche.
3
Créer un nouveau reverse shell et l’assigner au shell_id.
4
Écrire une chaîne de commande dans le reverse shell identifié par le shell_id
5
Fermez le shell inversé identifié par shell_id.
Comme pour les variantes précédentes, un reverse shell est configuré à l’aide de pipes anonymes connectés aux handles stdin et stdout d’un nouveau processus cmd.exe. Toneshell9 supporte deux reverse shells actifs en parallèle et utilise la structure ci-dessous pour gérer une connexion au shell :
Pour chaque reverse shell, un nouveau thread est créé pour vérifier régulièrement la présence de nouvelles données dans le pipe stdout et les renvoyer au serveur C2 dans une balise avec le code de réponse 0x4. Les opérateurs Toneshell peuvent écrire des chaînes de caractères dans le pipe en utilisant le shell_id approprié et exécuter des commandes arbitraires sur la machine. Lors de la fermeture d’un reverse shell, le processus conhost.exe identifié par le parent_pid est également terminé sur la machine.
En août 2025, X-Force a découvert un ver USB inconnu jusqu’alors, attribué à Hive0154. La DLL 32 bits a été téléchargée sur VirusTotal sous le nom « 01.dat » depuis la Thaïlande et présente des fonctionnalités similaires à celles de Toneshell9. Les deux sont exécutés via le chargement latéral de DLL, toutes les exportations, à l’exception de DllEntryPoint et du point d’entrée du logiciel malveillant, pointent vers la même fonction, qui revient immédiatement. Ils présentent également tous deux des fonctionnalités de résolution d’API presque identiques, comme la quasi-totalité des logiciels malveillants liés à Toneshell. Similaire à l’exemple de Toneshell9, SnakeDisk lit également un argument en ligne de commande pour sélectionner l’un des deux chemins d’exécution possibles :
Pour exécuter la fonctionnalité d’infection USB, SnakeDisk a besoin d’un fichier de configuration, qu’il recherche dans le répertoire courant de l’exécutable parent. Tous les fichiers trouvés dans ce répertoire, sauf s’ils sont nommés « System Volume Information », seront ajoutés à une liste de fichiers de configuration potentiels. Tonedisk ouvre et lit chaque fichier, en testant les conditions suivantes pour vérifier le fichier avant de procéder au déchiffrement.
SnakeDisk procède au décryptage des données à l’aide d’un algorithme XOR à deux phases probablement personnalisé et d’une clé de 320 octets stockée dans un en-tête de 330 octets.
Enfin, le logiciel malveillant analyse 18 valeurs de chaîne qui définissent la configuration du logiciel malveillant. X-Force n’a pas pu récupérer de fichier de configuration ; cependant, l’analyse de SnakeDisk a révélé les objectifs probables suivants pour les valeurs.
Champ de configuration
Objectif
version
Version du malware utilisée pour déterminer si un client déjà infecté doit être réinfecté avec une variante mise à jour.
mutx
Chaîne mutex.
psd
Non utilisé dans l’échantillon analysé. Peut-être l’équivalent local de « usd » – toutes les valeurs de « u* » sont des noms de fichiers/répertoires sur la clé USB après armement.
urd
Probablement « USB root directory » (répertoire racine USB). Nom du répertoire créé sur la clé USB qui contient des sous-répertoires.
uud
Probablement « USB user directory » (répertoire utilisateur USB). Nom du répertoire sous <urd> contenant les fichiers originaux de l’utilisateur depuis la clé USB.
usd
Probablement le « répertoire de transit USB ». Le nom du répertoire sous <urd> stockant divers composants malveillants de SnakeDisk.
pnex
Probablement « parent name executable » (nom de l'exécutable parent). Nom d’un fichier présent dans le répertoire courant de SnakeDisk lors de l’exécution.
pndl
Probablement « parent name DLL » (nom de la DLL parente). Nom d’un fichier présent dans le répertoire courant de SnakeDisk lors de l’exécution.
pnen
Probablement « parent name encrypted » (nom parent chiffré). Nom d’un fichier présent dans le répertoire courant de SnakeDisk lors de l’exécution.
pnendl
Probablement « parent name encrypted DLL » (DLL chiffrée du nom parent). Nom d’un fichier présent dans le répertoire courant de SnakeDisk lors de l’exécution.
unex
Probablement « USB name executable » (nom de l'exécutable USB). Nom d’un fichier copié depuis <pnex> sur la clé USB.
undl
Probablement « USB name DLL » (nom de la DLL USB). Nom d’un fichier copié depuis <pndl> sur la clé USB.
unen
Probablement « USB name encrypted » (nom USB chiffré). Nom d’un fichier copié depuis <pnen> vers la clé USB.
unendl
Probablement « USB name encrypted DLL » (DLL chiffrée du nom USB). Nom du fichier copié depuis <pnendl> vers la clé USB.
unendl_org
Nom de fichier (probablement une DLL) copié depuis <pnendl> vers le répertoire racine de la clé USB et masqué via les attributs du fichier.
unconf
Le nom du fichier de la configuration SnakeDisk déposée sur l’USB.
regkey
Se rapporte potentiellement à un mécanisme de persistance du registre. Non utilisé dans l’échantillon analysé.
schkey
Se rapporte potentiellement à un mécanisme de persistance des tâches planifiées. Non utilisé dans l’échantillon analysé.
Après avoir lu avec succès son fichier de configuration, SnakeDisk essaiera de confirmer qu’il s’exécute actuellement sur une machine basée en Thaïlande. Il envoie une requête HTTP GET à http://ipinfo[.]io/json et vérifie si le champ « country » correspond à « THA » ou « TH ». Si cela est vrai, l’exécution continue.
L’exécution se poursuit si une erreur se produit lors de la résolution des API ou lors de la communication réseau.
SnakeDisk s’assure ensuite qu’il ne fonctionne qu'en une seule instance en tentant d’ouvrir un mutex « Global\\<mutx config value> ». Si le mutex existe déjà, le logiciel malveillant se termine ; sinon, il crée le mutex via CreateMutexW.
Afin d’infecter toutes les clés USB déjà connectées, SnakeDisk commence à parcourir toutes les lettres possibles de A à Z. Il ouvre un handle vers le volume physique, tel que « \.\A: » et envoie le code de contrôle E/S IOCTL_STORAGE_GET_HOTPLUG_INFO (0x2D0C14) au périphérique. Si le périphérique est un périphérique hotplug selon la structure STORAGE_HOTPLUG_INFO renvoyée, il lance un nouveau thread pour infecter ce lecteur.
Après avoir parcouru toutes les lettres de lecteur, SnakeDisk se met en veille pendant 5 secondes, puis enregistre une nouvelle classe de fenêtre « TestClassName » et crée une fenêtre correspondante « TestWindowName ». Pour récupérer les messages du système d’exploitation, la fonction crée une boucle de messages Windows à l’aide de GetMessageW et envoie les messages à la procédure de fenêtre du malware via TranslateMessage et DispatchMessageW. Il ne sort de la boucle que lorsqu’il reçoit un message WM_CAP_PAL_OPEN (0x450). La classe de fenêtre malveillante fait référence à une procédure personnalisée qui écoute le message WM_DEVICECHANGE (0x219), et plus précisément les événements DBT_DEVICEARRIVAL (0x8000) et DBT_DEVICEREMOVECOMPLETE (0x8004).
Si un tel message est reçu, par exemple, lorsqu’un périphérique USB est connecté à la machine infectée, la fonction utilise le champ « dbcv_unitmask » de la structure DEV_BROADCAST_VOLUME pour déterminer la lettre de lecteur du périphérique correspondant. Pour les périphériques nouvellement connectés, un nouveau thread est lancé pour infecter le disque. Si SnakeDisk détecte un retrait d’un périphérique, il lance un thread pour déposer et exécuter sa charge utile intégrée, ce qui déclenche le même chemin d’exécution que l’exécution de la DLL SnakeDisk avec l’argument en ligne de commande « -hope » aurait provoqué.
Le thread pour infecter un périphérique USB détecté commence par rechercher sur le disque un fichier de configuration existant afin de déterminer s’il était déjà infecté. Il tente de déchiffrer et d’analyser une configuration à partir de n’importe quel fichier contenant une extension .dat ou .cd . Si une configuration est analysée, le logiciel malveillant compare le numéro de version du disque déjà infecté à la version de sa propre configuration et ne réinfecte que les disques contenant des versions plus anciennes de SnakeDisk.
SnakeDisk lance alors un autre thread pour déplacer les fichiers existants sur la clé USB dans un nouveau sous-répertoire. En masquant essentiellement les fichiers qu’un utilisateur attend sur sa clé USB, le logiciel malveillant augmente les chances qu’une victime pense que la clé USB n’a pas encore été ouverte et qu’elle clique accidentellement sur l’exécutable malveillant sur une nouvelle machine portant le même nom que l’appareil. Après exécution, le lanceur malveillant recopie les fichiers des utilisateurs pour éviter tout soupçon. Le chemin contenant les données de l’utilisateur sur un appareil infecté est construit à partir des valeurs de configuration comme suit :
Le logiciel malveillant peut utiliser deux mécanismes différents pour l’opération, chacun étant lancé dans son propre fil d’exécution. La première utilise SHFIleOperationW pour déplacer chaque fichier et, lors de chaque opération, lit également 32 octets d’un fichier « C:\\Windows\\Tmp\\msd.log », écrit dans un fichier « C:\\ProgramData\\app.log » avant de supprimer ce dernier. L’objectif de ce comportement n’est pas clair.
Pendant que le thread s’exécute, le logiciel malveillant vérifie régulièrement qu’il s’est bien déroulé pendant 30 secondes avant de lancer un second thread. Le deuxième thread utilise robocopy pour déplacer les fichiers et exécute la commande suivante dans un nouveau processus :
Les deux déplacements de fichiers excluent les fichiers piégés de SnakeDisk et le fichier « System Volume Information », qui doit rester dans le répertoire racine du disque USB. Après avoir exécuté la commande ci-dessus, la même commande est lancée à nouveau avec deux indicateurs supplémentaires « /IS » et « /XO », pour inclure les mêmes fichiers et exclure les fichiers du répertoire source plus anciens que la destination.
Après avoir déplacé les fichiers déjà existants sur la clé USB, SnakeDisk copie ses propres charges utiles de son répertoire actuel vers la clé USB. Les fichiers suivants, comme spécifié dans la configuration, sont copiés via CopyFileW, chacun dans un nouveau thread :
Le nom de fichier de l’EXE à la racine du lecteur USB est défini sur le nom de volume du périphérique USB, ou simplement sur « USB.exe ». si celui-ci est vide. SnakeDisk définit également les attributs SYSTEM et HIDDEN sur le fichier copié dans « <drive_letter>:\<unendl_org> ». Tous les répertoires sur la clé USB comportent également ces attributs, ce qui permet de tout masquer à l’exception de l’exécutable. Bien que X-Force n’ait récupéré aucun des autres fichiers, les vers USB précédents utilisaient la même technique pour inciter les victimes à cliquer sur l’exécutable, qui chargeait latéralement une DLL pour initier l’infection. Le nom de fichier de cette DLL malveillante est probablement stocké dans la valeur de configuration « unendl_org ». Enfin, SnakeDisk écrit sa configuration dans un nouveau fichier sur la clé USB portant le nom de la valeur « unconf ».
Le thread SnakeDisk responsable du dépôt et de l’exécution de sa charge utile intégrée est lancé lorsqu’un retrait de périphérique USB est détecté, ou au début de l’exécution de SnakeDisk via l’argument en ligne de commande « -hope ».
Tout d’abord, le thread lit un fichier marqueur « vm.ini » dans son répertoire et compare le contenu à son propre chemin actuel. Ce fichier est également écrit après le dépôt et l’exécution réussis des charges utiles et indique si une victime a déjà été infectée par la charge utile intégrée de SnakeDisk. Si les chemins correspondent, aucune charge utile ne sera déposée et le thread se terminera.
Après la première vérification, SnakeDisk commence à déposer une série de charges utiles dans le répertoire « C:\Users\Public\ ». Chaque fichier est créé en mémoire à partir de valeurs immédiates dans des fonctions volumineuses comprises entre 0,6 et 3,3 Mo.
Les charges utiles sont ensuite déchiffrées via une simple opération XOR avant d’être déposées sous forme de fichiers sur :
Ces fichiers sont concaténés en groupes de trois pour produire les deux charges utiles finales via les commandes suivantes :
Le nom de fichier de l’EXE est créé à partir de 10 lettres majuscules et chiffres aléatoires. Après concaténation, les fichiers sont supprimés.
Enfin, l’exécutable est lancé dans un nouveau processus avec un argument en ligne de commande codé en dur :
Sans surprise, l’EXE (bb5bb82e5caf7d4dbbe878b75b23f793a5f3c5ca6dba70d8be447e8c004d26ce) est un exécutable légitime et signé (acwebbrowser.exe) qui charge latéralement la DLL malveillante libcef.dll au cours de son exécution.
La charge utile DLL a été identifiée comme étant la porte dérobée Yokai, signalée en décembre 2024 par Netskope. À l’exécution, le logiciel malveillant vérifie d’abord l’argument « -project-mod » puis établit la persistance via une tâche planifiée si l’utilisateur n’est pas membre du groupe Administrateurs :
Il crée ensuite un nouveau mutex « k1tpddvivh74fo1et725okr1c1 » et initialise une structure de configuration interne. La variante déposée par SnakeDisk contient la chaîne de version « 1.0.0 » et contacte un serveur C2 codé en dur via des requêtes HTTP POST :
Comme indiqué dans l’analyse de Netskope, Yokai est utilisé pour créer un reverse shell via des pipes anonymes, ce qui permet aux opérateurs d’exécuter des commandes arbitraires sur la machine infectée.
Il est intéressant de noter que Yokai présente des recoupements avec d’autres familles de portes dérobées attribuées à Hive0154, telles que Pubload/Pubshell et Toneshell. Bien que ces familles soient clairement des logiciels malveillants distincts, elles suivent à peu près la même structure et utilisent des techniques similaires pour créer un shell inversé sur leur serveur C2.
L’analyse X-Force a également révélé de fortes similitudes entre SnakeDisk et Tonedisk. Au fil des années, plusieurs familles de vers USB ont été associées à Hive0154. Les variantes étroitement liées à la famille Toneshell dans leur implémentation sont répertoriées par X-Force sous le nom de Tonedisk. À ce jour, 3 versions majeures de Tonedisk (A, B et C) ont été identifiées. Chacune des versions de Tonedisk est une suite de composants malveillants qui fournissent toutes les fonctionnalités du ver USB. Ces composants incluent des lanceurs, des chargeurs, des répartiteurs, des fichiers chiffrés, des installateurs et des portes dérobées.
SnakeDisk chevauche spécifiquement la variante ToneDisk A, qui a également été rapportée à la mi-2023 par Checkpoint sous le nom de WispRider. Les mécanismes de propagation USB des deux logiciels malveillants, le hachage API et les fichiers de configuration présentent plusieurs similitudes, qui correspondent à la tendance connue des sous-clusters Hive0154 à partager et à réutiliser des logiciels malveillants entre eux.
X-Force suit l’activité de ce rapport sous le cluster générique Hive0154, qui chevauche partiellement l’activité publiée sous les noms de Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, TEMP.Hex et Earth Preta. Ce groupe semble entretenir un écosystème de logiciels malveillants considérablement étendu, avec des chevauchements fréquents au niveau des codes malveillants, des techniques utilisées lors des attaques et du ciblage. Au sein du cluster générique plus important, X-Force sépare au moins trois sous-clusters d’activité avec un niveau de fiabilité faible, chaque cluster étant associé à l’une des souches de logiciels malveillants centrales PlugX, ToneShell et Pubload. Chaque souche de logiciel malveillant est associée à un cadre des exigences de ver USB différent et à une ou plusieurs variantes de logiciels malveillants de chargement connexes, qui changent plus fréquemment. Le même chargeur peut être utilisé pour différentes charges utiles, telles que Toneshell ou Pubload, dans le même laps de temps. Cependant, il est important de noter que le cluster des activités ne signale pas automatiquement qu’elles fonctionnent comme des sous-groupes distincts.
L’activité associée à l’utilisation de SnakeDisk et de la porte dérobée Yokai indique peut-être la présence d’un autre sous-cluster de Hive0154. Il semble actuellement viser principalement la Thaïlande, comme en témoignent les vérifications de géolocalisation IP dans SnakeDisk et les rapports de Netskope.
Hive0154 reste un acteur de menace très performant avec plusieurs sous-clusters actifs et des cycles de développement fréquents. X-Force estime avec un niveau de confiance élevé que des groupes proches de la Chine, tels que Hive0154, continueront à affiner leur vaste arsenal de logiciels malveillants et à cibler des entreprises publiques et privées du monde entier. Le logiciel malveillant évoqué dans le rapport ci-dessus est probablement encore en phase de développement précoce, permettant aux défenseurs d’adopter des mécanismes de détection avant leur utilisation généralisée. Les entités exposées au risque d’espionnage par Hive0154 doivent maintenir un niveau élevé de sécurité défensive et rester vigilantes à l’égard des techniques mentionnées dans le présent rapport et consulter les recommandations suivantes :
Indicateur
Type d’indicateur
Contexte
f8b28cae687bd55a148d363d58f1
SHA256
Archive piégée diffusant Toneshell8
8132beeb25ce7baed0b561922d26
SHA256
Archive piégée diffusant Toneshell8
d1466dca25e28f0b7fae71d5c2abc0
SHA256
Archive piégée diffusant Toneshell8
1272a0853651069ed4dc505007e85
SHA256
Archive piégée diffusant Toneshell8
b8c31b8d8af9e6eae15f30019e39c
SHA256
Archive piégée diffusant Toneshell7
7087e84f69c47910fd39c3869a70
SHA256
Archive piégée diffusant Pubload
38fcd10100f1bfd75f8dc0883b0c
SHA256
Archive piégée diffusant Pubload
69cb87b2d8ee50f46dae791b5a0
SHA256
PDF contenant l’URL de téléchargement d’une archive piégée
564a03763879aaed4da8a8c1d60
SHA256
Chargeur injectant Toneshell7
e4bb60d899699fd84126f9fa0df
SHA256
Chargeur injectant Pubload
c2d1ff85e9bb8feb14fd015dceee1
SHA256
Chargeur injectant Pubload
188.208.141[.]196
IPv4
Serveur C2 Pubload
bdbc936ddc9234385317c4ee83
SHA256
Porte dérobée Toneshell8
f0fec3b271b83e23ed7965198f3b
SHA256
Porte dérobée Toneshell8
e7b29611c789a6225aebbc9fee37
SHA256
Porte dérobée Toneshell8
9ca5b2cbc3677a5967c448d9d21
SHA256
Porte dérobée Toneshell8
146.70.29[.]229
IPv4
Serveur Toneshell7/Toneshell8 C2
318a1ebc0692d1d012d20d306
SHA256
Porte dérobée Toneshell9
0d632a8f6dd69566ad98db56
SHA256
Archive malveillante livrant Toneshell9
39e7bbcceddd16f6c4f2fc2335a
SHA256
Archive malveillante livrant Toneshell9
05eb6a06b404b6340960d7a6
SHA256
Chargeur contenant un fork de Toneshell qui a servi de base à Toneshell9
123.253.34[.]44
IPv4
Serveur C2 Toneshell9
www.slickvpn[.]com
Domaine
Serveur C2 Toneshell9
dd694aaf44731da313e4594d
SHA256
Ver USB SnakeDisk
bb5bb82e5caf7d4dbbe878b7
SHA256
Charge utile EXE bénigne de SnakeDisk utilisée pour le chargement latéral de la DLL Yokai
35bec1d8699d29c27b66e564
SHA256
DLL de la porte dérobée Yokai
http://118.174.183[.]89/kptinfo
URL
Serveur C2 Yokai
IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI by Filigran, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le X-Force OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Profitez dès aujourd'hui d'une version d’essai de 30 jours de X-Force Premier Threat Intelligence !
Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport X-Force sur le paysage des menaces dans le cloud.
Apprenez à relever les défis et à exploiter la résilience de l’IA générative en matière de cybersécurité.
Protégez votre organisation contre les menaces mondiales grâce à l’équipe de pirates informatiques, d’intervenants, de chercheurs et d’analystes spécialisés dans les menaces d’IBM X-Force.
Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.
Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.
Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.