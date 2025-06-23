Balises
Sécurité

Hive0154, alias Mustang Panda, se concentre sur la communauté tibétaine et déploie la porte dérobée Pubload

Vue de dos d’un homme travaillant sur un ordinateur au bureau, avec des écrans et des équipements au second plan

Auteurs

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

Récapitulatif

En juin 2025, les chercheurs d’IBM X-Force ont découvert un acteur de menace aligné sur la Chine, Hive0154, qui diffusait des logiciels malveillants de type Pubload contenant des documents et des noms de fichiers leurres ciblant la communauté tibétaine. Le conflit sur la souveraineté du Tibet est souvent invoqué par les groupes de menace chinois dans leurs opérations cybernétiques, la dernière campagne en date coïncidant avec les activités précédant un événement majeur pour la communauté tibétaine, le 90e anniversaire du Dalaï Lama.

Plusieurs leurres observés abordent les sujets suivants liés à la communauté tibétaine :

  • La 9ème Convention mondiale des parlementaires sur le Tibet (WPCT), qui s’est tenue du 2 au 4 juin à Tokyo, au Japon.
  • La politique éducative de la Chine dans la région autonome du Tibet (TAR). Le sujet est d’une grande importance pour la communauté tibétaine, et l’assimilation culturelle au Tibet a été soulignée par Human Rights Watch dans son rapport
  • Le livre Une voix pour ceux qui n'en ont pas, publié en mars 2025 par le chef tibétain en exil, le Dalaï Lama. Le livre traite du dialogue entre le Dalaï Lama et les dirigeants chinois au sujet de l’indépendance du Tibet.

Principales conclusions

  • L’acteur de la menace Hive0154, allié de la Chine, a diffusé de nombreux leurres d’hameçonnage dans le cadre de campagnes ciblées en 2025 afin de déployer la porte dérobée Pubload
  • Hive0154 conçoit des noms de fichiers faisant référence à divers sujets géopolitiques, conçus pour susciter un intérêt accru de la part des destinataires ciblés
  • En mai 2025, X-Force a remarqué que l’accent était mis sur les sujets conçus spécialement pour cibler la communauté tibétaine
  • Les campagnes d’hameçonnage font référence à la 9e Convention mondiale des parlementaires sur le Tibet (WPCT) qui s’est tenue à Tokyo en juin, à la politique d’éducation de la Chine dans la région autonome du Tibet et au livre Voice for the Voiceless du Dalai Lama de 2025
Aperçu de Hive0154

Hive0154 est un acteur de la menace bien établi aligné sur la Chine qui possède un vaste arsenal de malwares, des techniques cohérentes et une activité bien documentée ces dernières années. Le groupe se compose de plusieurs sous-clusters et mène des cyberattaques ciblant des organisations publiques et privées, y compris des think tanks, des groupes politiques, des agences gouvernementales et des particuliers. Les observations de X-Force sur l’utilisation par le groupe de plusieurs chargeurs de logiciels malveillants personnalisés, de portes dérobées et de familles de vers USB illustrent leurs capacités avancées. L’activité de Hive0154 recoupe celle des acteurs de la menace signalés publiquement comme Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris et Earth Preta.

Activité précédente

X-Force a précédemment détaillé une activité étendue attribuée à un sous-groupe de Hive0154 visant les États-Unis, les Philippines, le Pakistan et Taïwan dans une campagne d’espionnage présumée de fin 2024 à début 2025. Le groupe utilise des archives militarisées provenant d’e-mails de phishing ciblé pour viser des entités telles que le personnel gouvernemental, militaire et diplomatique des Philippines, des États-Unis et du Pakistan. Les e-mails d’hameçonnage, les archives et les noms de fichiers malveillants font référence à divers sujets géopolitiques adaptés à leur public afin de susciter un intérêt accru de la part des destinataires. Les e-mails incluent généralement des URL Google Drive qui téléchargent des archives ZIP ou RAR instrumentalisées si le destinataire clique sur le lien.

Exemple d’e-mail de phishing Hive0154 provenant d’une campagne d’avril 2025.
Fig. 1 : exemple d’e-mail de phishing Hive0154 provenant d’une campagne menée en avril 2025.

Les archives contiennent un exécutable inoffensif vulnérable au chargement latéral de DLL et une DLL Claimloader malveillante. Les exécutables sont généralement renommés pour inciter les victimes à les ouvrir, ce qui déclenche immédiatement la chaîne d’infection. Le logiciel malveillant Claimloader établit la persistance, décrypte sa charge utile Pubload intégrée et l’injecte dans la mémoire. Pubload télécharge ensuite Pubshell, une porte dérobée légère qui permet d’accéder immédiatement à la machine via un shell inversé. 

Schéma de la chaîne d’infection Pubload
Figure 2 : chaîne d’infection

9e Convention mondiale des parlementaires sur le Tibet (WPCT)

Au moment où la campagne a débuté (21 mai), le leurre WPCT ci-dessous faisait probablement référence à la prochaine convention à Tokyo, au japon, en date du 2 au 4 juin.

Nom du leurre

 Pays   émetteur

 Claimloader DLL SHA256

 Date

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

 Inde

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21   mai   2025

Cette convention, qui se tient habituellement aux États-Unis ou en Europe, s’est tenue pour la première fois au Japon. Au total, 142 parlementaires et représentants de 29 pays étaient présents, dont des députés de Belgique et du Japon. L’ambassade de Chine au Japon a vivement dénoncé la participation de l’Administration centrale du Tibet, également connue sous le nom de gouvernement tibétain en exil, à la convention. La convention a abouti à la Déclaration de Tokyo, condamnant la répression du gouvernement chinois dans la région tibétaine et appelant à une législation internationale pour protéger la liberté culturelle et religieuse tibétaine. Les chercheurs de X-Force ont découvert que la campagne Hive0154 concevait différents leurres avant et après la convention.

Après la Convention, plusieurs déclarations furent publiées, dont des Plans d’action avisés sur le Tibet. Hive0154 l’a probablement copié sur le site Web vers un document Microsoft Word (DOCX) inoffensif au sein d’une archive militarisée. L’archive contient en outre des articles directement copiés de plusieurs sites tibétains (ici et ici) en lien avec la convention, ainsi que des photos authentiques de la convention. La présence d’articles et de photos légitimes parmi les fichiers exécutables portant le même nom est susceptible d’inciter les victimes à ouvrir accidentellement l’un des fichiers EXE et à déclencher l’infection à leur insu.

“9th WPCT Region-Wise Action Plans on Tibet.exe”: 

Capture d'écran d'un DOCX inoffensif intégré dans une archive piégée avec des EXE partageant le même nom de fichier.
Fig. 3 : capture d’écran d’un DOCX inoffensif intégré dans une archive militante avec des EXE partageant le même nom de fichier.

« Tibet in Focus as Global Lawmakers Convene in Tokyo.exe » :

Capture d'écran d'un DOCX inoffensif intégré dans une archive piégée avec des EXE partageant le même nom de fichier.
Fig. 4 : capture d’écran d’un fichier DOCX inoffensif intégré dans une archive malveillante avec des fichiers EXE portant le même nom (Source : Tibet.net)

Photos de la convention utilisées comme leurre :"9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"

Dirigeants tibétains assis sur une longue scène avec des microphones devant des journalistes et des citoyens Fig.  5 : Image JPG intégrée dans des archives militarisées (Source : Tibet.net)
collage de photos individuelles de dirigeants tibétains et d’autres leaders mondiaux lors de la conférence tibétaine
Fig. 6 : Images de la convention regroupées dans des archives militarisées avec des fichiers EXE et DLL malveillants (Source : Tibet.net)

Nouvelles activités ciblant la communauté tibétaine et les États-Unis

Lors d’une autre campagne, X-Force a découvert d’autres fichiers malveillants sur le thème du Tibet. Ces dossiers portent des noms sur des sujets d’intérêt pour la communauté tibétaine, tels que Formation bilingue au Tibet ou le titre d’un livre récemment publié par le Dalaï Lama. Le choix de ces sujets a probablement été conçu pour inciter les destinataires à se montrer réceptifs et à cliquer sur le fichier. Il est à noter que les échantillons relatifs au Tibet ont été envoyés depuis l’Inde, où opère actuellement le gouvernement tibétain en exil, ce qui suggère que les destinataires des fichiers pourraient les avoir envoyés à VirusTotal. Au cours d’une campagne parallèle, X-Force a découvert un fichier visant probablement la marine américaine, évoquant potentiellement les réunions de groupes de travail en cours entre la marine américaine et d’autres parties.

Nom du leurre

Pays émetteur

Claimloader DLL SHA256

Date

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

États-Unis

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

 17   avril   2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(traduit du tibétain : Rapport sur la réforme de l'éducation bilingue/Rapport sur la réforme de l'éducation bilingue.exe)

Inde

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

 26   mai   2025

Voice for the Voiceless photos/Voice for the Voiceless photos.exe

Inde

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28   mai   2025

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

États-Unis

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

 9   juin   2025

“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): Le sujet est d’une grande importance pour la communauté tibétaine et l’assimilation culturelle au Tibet a été soulignée par Human Rights Watch dans son rapport.

“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Ce document fait référence à un livre publié par le dirigeant tibétain en exil, le Dalaï Lama, en mars 2025. Il évoque son dialogue avec les dirigeants chinois concernant l’indépendance du Tibet.

“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Ce dossier pourrait faire référence à l’accord minier de la République démocratique du Congo (RDC) avec les États-Unis et aux efforts pour obtenir son soutien à un tel accord après avoir observé que l’Ukraine concluait un accord similaire avec les États-Unis. En juin 2025, la RDC s’apprête à finaliser l’accord avec les États-Unis en échange d’une assistance militaire et diplomatique contre les rebelles du M23 soutenus par le voisin rwandais.

« (USPACFLT) Working_Group_Meeting/DF pour le rapport d’activité final sur la conduite de la 4e réunion du groupe de travail (WGM) de la flotte du Pacifique des États-Unis (USPACFLT).exe »: Cela peut faire référence à la flotte du Pacifique de la marine américaine et à ses activités de sensibilisation auprès des pays de la région du Pacifique. La flotte fournit des forces navales au Commandement américain pour l’Indo-Pacifique et peut être sollicitée en cas de conflit à Taïwan.

Détails techniques : mises à jour Claimloader

Claimloader est une famille de chargeurs qui a beaucoup évolué ces dernières années. Ils contiennent une charge utile de shellcode chiffrée, qui est déchiffrée et injectée au moment de l’exécution. Notre précédent blog fournit plus de détails techniques sur les variantes précédentes utilisées par Hive0154.

Lors de la première exécution, Claimloader commence par créer un nouvel objet mutex pour garantir que seule une instance de Claimloader est en cours d’exécution. Il se déplace ensuite, ainsi que les fichiers EXE de ses processus utilisés pour le chargement latéral de DLL, vers un nouveau répertoire sous un nouveau nom, tel que :

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Ensuite, Claimloader utilise l’API SHSetValueA() pour établir la persistance de l’EXE via une clé de registre ci-dessous :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

L’EXE sera ainsi exécuté chaque fois que l’utilisateur actuel se connectera à la machine. Le processus est exécuté avec un argument prédéfini, tel que « Licence », qui sert à invoquer la fonctionnalité principale de Claimloader.

Lors de la deuxième exécution du Claimloader avec l’argument spécifié, la dernière variante du Claimloader commence à décrypter une charge utile intégrée via l’algorithme TripleDES. Cet algorithme n’a été observé dans les variantes de Claimloader que fin avril 2025. Les variantes mises à jour utilisent également des noms d’API chiffrés XOR et des API natives LdrLoadDll() et LdrGetProcedureAddress() pour résoudre dynamiquement les importations.

Après cinq secondes de veille, Claimloader alloue un nouveau tampon exécutable en mémoire et y copie la charge utile du shellcode. Le logiciel malveillant dort pendant 10 secondes supplémentaires, puis appelle les API GetDC() et EnumFontsW(), qu'il utilise pour exécuter la charge utile en mémoire en transmettant son point d’entrée en tant que fonction de rappel.

Porte dérobée Pubload

La charge utile du shellcode Pubload n’a pas subi de mise à jour depuis notre dernier rapport. Il contient une simple routine d’auto-décryptage avant d’exécuter sa fonctionnalité principale. Pubload est une simple porte dérobée capable de télécharger des charges utiles de shellcode cryptées, qui sont injectées en mémoire. L’une des premières charges utiles est le module Pubshell, qui met en œuvre un shell inversé pour faciliter l’accès immédiat à la machine infectée.

Conclusion

Hive0154 reste un acteur de menace très performant avec plusieurs sous-clusters actifs et des cycles de développement fréquents. X-Force estime avec certitude que des groupes proches de la Chine, tels que Hive0154, continueront à affiner leur vaste arsenal de logiciels malveillants et à cibler des entreprises publiques et privées du monde entier. Les entités exposées au risque d’activité de Hive0154 doivent maintenir un niveau élevé de sécurité défensive et rester vigilantes à l’égard des techniques mentionnées dans le présent rapport.

Recommandations

  • Attention aux e-mails contenant un lien de téléchargement Google Drive
  • Faites preuve de prudence lorsque vous téléchargez des archives, même si elles contiennent les documents attendus. Formez le personnel à afficher et reconnaître les extensions de fichiers inattendues.
  • Surveillez et recherchez dans les réseaux les paquets de données d’application TLS 1.2 (en-tête : 17 03 03) sans prise de main TLS précédente comme signe d’une balise Pubload ou Toneshell
  • Surveillez et recherchez les clés USB contenant des noms d’exécutables suspects, des DLL et des répertoires cachés qui pourraient indiquer qu’un appareil est infecté par un ver USB
  • Surveillez et recherchez les répertoires suspects et inconnus dans C:\ProgramData\* qui contiennent un fichier EXE légitime vulnérable au chargement latéral de DLL et une DLL correspondante.
  • Surveillez et recherchez les techniques de persistance dans le registre et les tâches planifiées
  • Surveillez toute activité inhabituelle sur le réseau, la persistance ou la modification de fichiers provenant de processus exécutables apparemment bénins qui chargent une DLL malveillante

Indicateurs de compromission

Indicateur

Type d’indicateur

Contexte

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

DLL Claimloader

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

DLL Claimloader

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

DLL Claimloader

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

DLL Claimloader

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

DLL Claimloader

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

Archive militarisée

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

Archive militarisée

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

Archive militarisée

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
ff874c

SHA256

Archive militarisée

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

Archive militarisée

218.255.96[.]245:443

ipv4

Serveur C2 Pubload

IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI by Filigran, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Testez X-Force Premier Threat Intelligence pendant 30 jours dès aujourd’hui !

