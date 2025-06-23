En juin 2025, les chercheurs d’IBM X-Force ont découvert un acteur de menace aligné sur la Chine, Hive0154, qui diffusait des logiciels malveillants de type Pubload contenant des documents et des noms de fichiers leurres ciblant la communauté tibétaine. Le conflit sur la souveraineté du Tibet est souvent invoqué par les groupes de menace chinois dans leurs opérations cybernétiques, la dernière campagne en date coïncidant avec les activités précédant un événement majeur pour la communauté tibétaine, le 90e anniversaire du Dalaï Lama.
Plusieurs leurres observés abordent les sujets suivants liés à la communauté tibétaine :
Hive0154 est un acteur de la menace bien établi aligné sur la Chine qui possède un vaste arsenal de malwares, des techniques cohérentes et une activité bien documentée ces dernières années. Le groupe se compose de plusieurs sous-clusters et mène des cyberattaques ciblant des organisations publiques et privées, y compris des think tanks, des groupes politiques, des agences gouvernementales et des particuliers. Les observations de X-Force sur l’utilisation par le groupe de plusieurs chargeurs de logiciels malveillants personnalisés, de portes dérobées et de familles de vers USB illustrent leurs capacités avancées. L’activité de Hive0154 recoupe celle des acteurs de la menace signalés publiquement comme Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris et Earth Preta.
X-Force a précédemment détaillé une activité étendue attribuée à un sous-groupe de Hive0154 visant les États-Unis, les Philippines, le Pakistan et Taïwan dans une campagne d’espionnage présumée de fin 2024 à début 2025. Le groupe utilise des archives militarisées provenant d’e-mails de phishing ciblé pour viser des entités telles que le personnel gouvernemental, militaire et diplomatique des Philippines, des États-Unis et du Pakistan. Les e-mails d’hameçonnage, les archives et les noms de fichiers malveillants font référence à divers sujets géopolitiques adaptés à leur public afin de susciter un intérêt accru de la part des destinataires. Les e-mails incluent généralement des URL Google Drive qui téléchargent des archives ZIP ou RAR instrumentalisées si le destinataire clique sur le lien.
Les archives contiennent un exécutable inoffensif vulnérable au chargement latéral de DLL et une DLL Claimloader malveillante. Les exécutables sont généralement renommés pour inciter les victimes à les ouvrir, ce qui déclenche immédiatement la chaîne d’infection. Le logiciel malveillant Claimloader établit la persistance, décrypte sa charge utile Pubload intégrée et l’injecte dans la mémoire. Pubload télécharge ensuite Pubshell, une porte dérobée légère qui permet d’accéder immédiatement à la machine via un shell inversé.
Au moment où la campagne a débuté (21 mai), le leurre WPCT ci-dessous faisait probablement référence à la prochaine convention à Tokyo, au japon, en date du 2 au 4 juin.
Nom du leurre
Pays émetteur
Claimloader DLL SHA256
Date
(WPCT)-ICT&CTA_Conference
Inde
2bd60685299c62ab
21 mai 2025
Cette convention, qui se tient habituellement aux États-Unis ou en Europe, s’est tenue pour la première fois au Japon. Au total, 142 parlementaires et représentants de 29 pays étaient présents, dont des députés de Belgique et du Japon. L’ambassade de Chine au Japon a vivement dénoncé la participation de l’Administration centrale du Tibet, également connue sous le nom de gouvernement tibétain en exil, à la convention. La convention a abouti à la Déclaration de Tokyo, condamnant la répression du gouvernement chinois dans la région tibétaine et appelant à une législation internationale pour protéger la liberté culturelle et religieuse tibétaine. Les chercheurs de X-Force ont découvert que la campagne Hive0154 concevait différents leurres avant et après la convention.
Après la Convention, plusieurs déclarations furent publiées, dont des Plans d’action avisés sur le Tibet. Hive0154 l’a probablement copié sur le site Web vers un document Microsoft Word (DOCX) inoffensif au sein d’une archive militarisée. L’archive contient en outre des articles directement copiés de plusieurs sites tibétains (ici et ici) en lien avec la convention, ainsi que des photos authentiques de la convention. La présence d’articles et de photos légitimes parmi les fichiers exécutables portant le même nom est susceptible d’inciter les victimes à ouvrir accidentellement l’un des fichiers EXE et à déclencher l’infection à leur insu.
“9th WPCT Region-Wise Action Plans on Tibet.exe”:
« Tibet in Focus as Global Lawmakers Convene in Tokyo.exe » :
Photos de la convention utilisées comme leurre :"9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"
Lors d’une autre campagne, X-Force a découvert d’autres fichiers malveillants sur le thème du Tibet. Ces dossiers portent des noms sur des sujets d’intérêt pour la communauté tibétaine, tels que Formation bilingue au Tibet ou le titre d’un livre récemment publié par le Dalaï Lama. Le choix de ces sujets a probablement été conçu pour inciter les destinataires à se montrer réceptifs et à cliquer sur le fichier. Il est à noter que les échantillons relatifs au Tibet ont été envoyés depuis l’Inde, où opère actuellement le gouvernement tibétain en exil, ce qui suggère que les destinataires des fichiers pourraient les avoir envoyés à VirusTotal. Au cours d’une campagne parallèle, X-Force a découvert un fichier visant probablement la marine américaine, évoquant potentiellement les réunions de groupes de travail en cours entre la marine américaine et d’autres parties.
Nom du leurre
Pays émetteur
Claimloader DLL SHA256
Date
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
États-Unis
c80dfc678570bde7c
17 avril 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(traduit du tibétain : Rapport sur la réforme de l'éducation bilingue/Rapport sur la réforme de l'éducation bilingue.exe)
Inde
93f1fd31e197a58b03c
26 mai 2025
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
Inde
3e7384c5e7c5764258
28 mai 2025
(USPACFLT) Working_Group_
États-Unis
8cd4324e1e764aafba
9 juin 2025
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): Le sujet est d’une grande importance pour la communauté tibétaine et l’assimilation culturelle au Tibet a été soulignée par Human Rights Watch dans son rapport.
“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Ce document fait référence à un livre publié par le dirigeant tibétain en exil, le Dalaï Lama, en mars 2025. Il évoque son dialogue avec les dirigeants chinois concernant l’indépendance du Tibet.
“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Ce dossier pourrait faire référence à l’accord minier de la République démocratique du Congo (RDC) avec les États-Unis et aux efforts pour obtenir son soutien à un tel accord après avoir observé que l’Ukraine concluait un accord similaire avec les États-Unis. En juin 2025, la RDC s’apprête à finaliser l’accord avec les États-Unis en échange d’une assistance militaire et diplomatique contre les rebelles du M23 soutenus par le voisin rwandais.
« (USPACFLT) Working_Group_Meeting/DF pour le rapport d’activité final sur la conduite de la 4e réunion du groupe de travail (WGM) de la flotte du Pacifique des États-Unis (USPACFLT).exe »: Cela peut faire référence à la flotte du Pacifique de la marine américaine et à ses activités de sensibilisation auprès des pays de la région du Pacifique. La flotte fournit des forces navales au Commandement américain pour l’Indo-Pacifique et peut être sollicitée en cas de conflit à Taïwan.
Claimloader est une famille de chargeurs qui a beaucoup évolué ces dernières années. Ils contiennent une charge utile de shellcode chiffrée, qui est déchiffrée et injectée au moment de l’exécution. Notre précédent blog fournit plus de détails techniques sur les variantes précédentes utilisées par Hive0154.
Lors de la première exécution, Claimloader commence par créer un nouvel objet mutex pour garantir que seule une instance de Claimloader est en cours d’exécution. Il se déplace ensuite, ainsi que les fichiers EXE de ses processus utilisés pour le chargement latéral de DLL, vers un nouveau répertoire sous un nouveau nom, tel que :
Ensuite, Claimloader utilise l’API SHSetValueA() pour établir la persistance de l’EXE via une clé de registre ci-dessous :
L’EXE sera ainsi exécuté chaque fois que l’utilisateur actuel se connectera à la machine. Le processus est exécuté avec un argument prédéfini, tel que « Licence », qui sert à invoquer la fonctionnalité principale de Claimloader.
Lors de la deuxième exécution du Claimloader avec l’argument spécifié, la dernière variante du Claimloader commence à décrypter une charge utile intégrée via l’algorithme TripleDES. Cet algorithme n’a été observé dans les variantes de Claimloader que fin avril 2025. Les variantes mises à jour utilisent également des noms d’API chiffrés XOR et des API natives LdrLoadDll() et LdrGetProcedureAddress() pour résoudre dynamiquement les importations.
Après cinq secondes de veille, Claimloader alloue un nouveau tampon exécutable en mémoire et y copie la charge utile du shellcode. Le logiciel malveillant dort pendant 10 secondes supplémentaires, puis appelle les API GetDC() et EnumFontsW(), qu'il utilise pour exécuter la charge utile en mémoire en transmettant son point d’entrée en tant que fonction de rappel.
La charge utile du shellcode Pubload n’a pas subi de mise à jour depuis notre dernier rapport. Il contient une simple routine d’auto-décryptage avant d’exécuter sa fonctionnalité principale. Pubload est une simple porte dérobée capable de télécharger des charges utiles de shellcode cryptées, qui sont injectées en mémoire. L’une des premières charges utiles est le module Pubshell, qui met en œuvre un shell inversé pour faciliter l’accès immédiat à la machine infectée.
Hive0154 reste un acteur de menace très performant avec plusieurs sous-clusters actifs et des cycles de développement fréquents. X-Force estime avec certitude que des groupes proches de la Chine, tels que Hive0154, continueront à affiner leur vaste arsenal de logiciels malveillants et à cibler des entreprises publiques et privées du monde entier. Les entités exposées au risque d’activité de Hive0154 doivent maintenir un niveau élevé de sécurité défensive et rester vigilantes à l’égard des techniques mentionnées dans le présent rapport.
Indicateur
Type d’indicateur
Contexte
2bd60685299c62abe500fe80e
SHA256
DLL Claimloader
c80dfc678570bde7c19df21877a1
SHA256
DLL Claimloader
93f1fd31e197a58b03c6f5f774c138
SHA256
DLL Claimloader
3e7384c5e7c5764258947721c77
SHA256
DLL Claimloader
8cd4324e1e764aafba4ea0394a8
SHA256
DLL Claimloader
7979686bf73c2988ab5d57f9605
SHA256
Archive militarisée
ea991719885b2fe91502218ff3be1
SHA256
Archive militarisée
6e408aada775eaf19c524792344c
SHA256
Archive militarisée
57770ede7015734e2d881430423b
SHA256
Archive militarisée
fb33f222b3d4d5edc9b743e6428
SHA256
Archive militarisée
218.255.96[.]245:443
ipv4
Serveur C2 Pubload
