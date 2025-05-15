Balises
Hive0154 ciblant les États-Unis, les Philippines, le Pakistan et Taïwan dans une campagne d’espionnage présumée

la Terre vue de l’espace avec des lignes numériques reliant les points de la planète

Auteurs

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

En mai 2025, IBM X-Force suit une campagne d’espionnage présumée en utilisant des archives ZIP militarisées pour distribuer les portes dérobées Pubload et Toneshell. X-Force attribue cette campagne, qui a probablement débuté fin 2024, à Hive0154, un acteur de la menace aligné sur la Chine, dont les opérations recoupent celles de groupes suivis sous les noms de Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris et Earth Preta. Les archives contiennent des leurres à thématique politique, probablement destinés à attirer le personnel du gouvernement, militaire et diplomatique des Philippines, des États-Unis et du Pakistan. Les sous-clusters Hive0154 ont utilisé des tactiques similaires par le passé. Plus précisément, ils ont utilisé le logiciel malveillant Claimloader pour installer des portes dérobées persistantes facilitant l’accès direct aux environnements des victimes afin d’acquérir des informations approfondies sur les décisions émergentes des gouvernements mondiaux. X-Force a également observé que le groupe utilisait un ver USB pour diffuser Pubload à Taïwan, ce qui pourrait permettre d’atteindre des réseaux susceptibles d’être protégés par un système de surveillance aérienne.

Principales conclusions

  • Hive0154 est un acteur de la menace bien établi, aligné sur la Chine, qui dispose d’un vaste arsenal de logiciels malveillants, de techniques cohérentes et d’une activité bien documentée au cours des dernières années
  • Parmi l’arsenal de logiciels malveillants, X-Force a découvert plusieurs outils conçus pour cibler un public spécifique, probablement les gouvernements des Philippines, des États-Unis et du Pakistan
  • La découverte de la X-Force suggère l’utilisation par Hive0154 de sujets géopolitiques adaptés à des publics distincts : 1. les Philippines, en utilisant les tensions en mer de Chine méridionale 2. le Pakistan, en utilisant les activités des séparatistes du Baloutchistan et 3. les États-Unis, en utilisant des notes de réunion falsifiées du Conseil national de sécurité
  • Ces attaques personnalisées suggèrent que Hive0154 tente probablement d’obtenir des renseignements sur les stratégies et les intentions potentielles de l’administration américaine et des pays voisins de la Chine.
  • L’un des sous-clusters de Hive0154 utilise régulièrement des variantes évolutives de Claimloader pour déployer des portes dérobées Pubload et Toneshell associées et cibler des entités en Europe, dans la région Asie-Pacifique et aux États-Unis
  • X-Force a enquêté sur une activité récente à Taïwan, où le ver USB HIUPAN a été utilisé pour diffuser la porte dérobée Pubload dans une importante entreprise manufacturière. Hive0154 utilise également des noms de fichiers liés à des factures et à des documents juridiques comme leurres pour cibler Taïwan en mai 2025

Aperçu de Hive0154

Depuis au moins 2022, Hive0154 a utilisé notamment la famille de logiciels malveillants Toneshell pour mener des Opérations mondiales. Les logiciels malveillants liés à Toneshell, tels que Pubload et Pubshell (alias NoFive), indiquent que le groupe maintient des branches de logiciels malveillants distinctes dans le cadre de ses opérations. Le groupe se compose de plusieurs sous-groupes et cible des entreprises publiques et privées, notamment les groupes de réflexion, les groupes de politique publique, les agences gouvernementales et les particuliers. X-Force estime que cet acteur malveillant représente une menace sérieuse, comme en témoignent son utilisation de plusieurs chargeurs de logiciels malveillants indépendants, de familles de chevaux de Troie et de vers USB, ainsi que les rapports réguliers sur ses activités publiés par plusieurs équipes de recherche en sécurité.

Homme regardant un ordinateur

Renforcez vos renseignements de sécurité  

Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.  

Activité précédente

En 2023, Palo Alto a signalé que l’un des sous-clusters Hive0154 suivis par X-Force utilisait divers leurres pour diffuser la porte dérobée Pubload. Certains des leurres ci-dessous coïncident également avec une campagne contre le Myanmar, comme l’a signalé le CSIRT CTI en janvier 2024. Les leurres ci-dessous montrent l’intérêt constant de la Chine pour les pays de l’Asie du Sud-Est et l’Australie.

Nom du leurre

Description

SHA256

Date

Notice re UEC, (04-25-2023 Day).zip

Inconnu

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

Avril 2023

April 27 updated party list.zip

Inconnu

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

Avril 2023

Biography of Senator the Hon Don Farrell.zip

Le nom du fichier semble être une copie directe du titre figurant sur le site Web du ministère australien du commerce et du tourisme concernant le Ministre australien du commerce.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

Avril 2023

Le SAC a certaines exigences en matière d'instructions pour l’élection générale

Inconnu

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

Avril 2023

National Security Priority Programs.zip

Inconnu

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

Mai 2023

230605 Ministerial meeting minutes (1).zip

Le fichier peut faire référence à la déclaration faite à Paris le 8 juin 2023 par les ministres de l’Australie, du Canada, du Japon, des États-Unis, du Royaume-Uni et de la Nouvelle-Zélande sur les pratiques commerciales abusives concernant la région Asie-Pacifique.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

Juin 2023

NUG’s Foreign Policy Strategy.zip

La formulation apparaît sur cette page web du CSIS Indonésie, concernant une situation qui se déroule au Myanmar, en proie à une guerre civile, avec des rapports suggérant que la Chine envisagerait d’envoyer du personnel de sécurité pour soutenir le gouvernement de la junte militaire du Myanmar, d’après le rapport de décembre 2024.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

Août 2023

Analysis of the third meeting of NDSC.zip

Le dossier faisait peut-être partie d’une campagne menée contre le gouvernement de la Birmanie par Stately Taurus début 2024. Vers octobre 2023, la Birmanie est plongée dans une guerre civile entre les factions rebelles et les forces du gouvernement. Les forces rebelles ont pris le contrôle d’une route commerciale clé pour la Chine. 

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

Novembre 2023

    

Les fichiers ZIP armés contiennent généralement un exécutable légitime renommé, tel que SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), qui est utilisé pour charger latéralement une DLL malveillante. La DLL fait partie de la famille Claimloader, qui comprend différentes variantes de chargeurs shellcode utilisées par Hive0154 au fil des années pour charger des charges utiles associées aux familles de portes dérobées Pubload et Toneshell.

Tout au long de 2024, d’autres activités de Hive0154 ont été enregistrées, dont certaines ont été rapportées par FatzQuatz, le compte Twitter/X de StrikeReadyLabs , et Hunt.io:

Nom du leurre

Description

SHA256

Date

Meeting Request--30-31-05.zip

Inconnu

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

Mai 2024

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

Inconnu

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

Mai 2024

Attendee list template (24-6-2024).zip

Inconnu

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

Juin 2024

Notice of Final Meeting.zip

Inconnu

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

Juillet 2024

a1.Guidelines for Driving Soft Power to Promote Thailand’s Image and
Competitiveness
on the World Stage.pptx

Inconnu

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

Juillet 2024

Interview avec Surachet
Praweewongwut.rar

Inconnu

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

Août 2024

IISS Prague Defence Summit 2024.zip

Campagne Mustang Panda précédemment signalée, visant les participants au sommet de la défense de l’IISS à Prague, en novembre 2024.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

Août 2024

NDI-IRI_Election_
Observation_
Mission_Report.zip

Le nom du fichier semble faire référence au rapport du NDI-IRI publié en juin 2023 concernant les élections au Nigeria. Le rapport a été commandé avec le soutien de l’Agence américaine pour le développement international (USAID).

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

Août 2024

leadership information list.zip

Inconnu

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

Août 2024

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

Le leurre fait probablement référence à la réunion bilatérale entre la Thaïlande et les Philippines qui a eu lieu en octobre 2024.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(EXE légitime,
DLL
correspondante)

Septembre 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

Ce document semble provenir de l’Agence nationale de gestion des catastrophes de Malaisie (NADMA, Agensi Pengurusan Bencana Negara) et des mesures qu’elle a prises pour faire face à la pandémie de Covid-19 en Malaisie. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

octobre 2024

    

La technique de sideloading des DLL dans les ZIP reste la même, mais différentes versions de la DLL Claimloader ont été enregistrées avec des modifications apportées à l’algorithme de déchiffrement. Certaines campagnes ont également utilisé directement une DLL ToneShell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b). 

Tensions autour de la mer de Chine méridionale

X-Force a observé plusieurs nouvelles campagnes fin 2024 et début 2025 suivant les mêmes TTP, qui ont été attribuées au même sous-cluster Hive0154. Les dernières variantes de Claimloader permettent également d’ouvrir des PDF leurres dans le cadre de la routine d’installation, avant d’injecter leurs charges utiles shellcode. Les PDF, ainsi que les DLL, utilisent des attributs de fichier qui ne sont pas visibles pour un utilisateur standard.

Deux leurres et leurs noms de fichiers associés mentionnent spécifiquement les tensions dans la mer de Chine méridionale entre la Chine et les Philippines, le gouvernement philippin appelant à une coopération militaire étroite avec les États-Unis à la lumière des activités croissantes de l'armée chinoise. Ces développements susciteront probablement un intérêt accru de la part des destinataires, qui seront peut-être plus enclins à ouvrir la pièce jointe. Ces destinataires peuvent inclure le gouvernement philippin, le personnel militaire et diplomatique, et peuvent également concerner des membres du gouvernement américain et des militaires américains dont le devoir pourrait justifier d’aborder le sujet présenté par les noms de fichiers.

Nom du leurre

Nom de fichier leurre

DLL SHA256 associée

Date

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

octobre 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

Novembre 2024

Les deux leurres chargent une DLL Claimloader, qui charge la même porte dérobée ToneShell, détaillée plus loin. 

Claimloader

Claimloader est une famille de chargeurs utilisée par Hive0154 par le passé pour charger différentes charges utiles en shellcode, notamment Toneshell et Pubload. Au fil des ans, elle a évolué en plusieurs versions différentes aux fonctionnalités variées.

L'un des premiers échantillons, compilé fin 2021, a été publié par Unit 42 de Palo Alto. Il utilise une technique intéressante, en copiant le shellcode dans une mémoire tampon via l’API UuidFromStringA. Il exécute ensuite le shellcode en tant que fonction de rappel transmise à EnumSystemLanguageGroupsA.

exemple de code claimloader précoce
Figure 1 : Échantillon précoce de Claimloader (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

Une technique similaire a déjà été décrite par le NCC Group.

En novembre 2022, LAC a signalé un variant Claimloader visant probablement des organisations gouvernementales aux Philippines dans une chaîne d’infection presque identique à celle de 2023-2024 détaillée dans les sections précédentes. Le variant stocke sa charge utile sous forme de blocs de 32 octets de chaînes de pile cryptées, avant de les déchiffrer individuellement. Il copie également l’exécutable légitime et le DLL Claimloader dans un nouveau répertoire avant de tenter d’établir la persistance via le registre ou les tâches planifiées, en faisant ainsi un installateur en plus d’un chargeur.

Lors de l’exécution, le logiciel malveillant commence par créer un mutex codé en dur afin de s’assurer qu’une seule instance de Claimloader est en cours d’exécution. Ensuite, il vérifie la présence d’un argument spécifique en ligne de commande, qui n’est pas présent lors de la première exécution. Si c’est le cas, Claimloader copiera à la fois l’EXE et la DLL dans un nouveau répertoire discret, souvent sous "C:\ProgramData\", en imitant un répertoire de logiciel tel que :

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

Ce comportement est utilisé par la plupart des échantillons Claimloader les plus récents et peut également conduire à des exécutions en sandbox infructueuses.​​

Ensuite, le logiciel malveillant établit la persistance lors de la connexion en stockant le chemin de l’EXE avec l’argument de ligne de commande correct dans une nouvelle clé de registre portant à nouveau un nom de logiciel discret sous :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Claimloader utilise également un mécanisme de persistance secondaire en créant le processus suivant pour créer une tâche planifiée qui exécutera le chargeur toutes les 5 minutes :

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

Veuillez noter que les techniques exactes peuvent varier ; un échantillon, par exemple, a utilisé des objets COM pour planifier la tâche en se connectant à l’interface ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

Les algorithmes de déchiffrement de Claimloader ont varié d’échantillons entre le DES (dernière version), au moins deux implémentations de routines de déchiffrement basées sur AES et XOR utilisant une valeur de départ codée en dur pour générer un flux de clés via la fonction _srand() :

Décryptage AES 128 ECB de Claimloader
Figure 2 : : Déchiffrement AES 128 ECB de Claimloader (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
Claimloader utilisant une somme de contrôle et une fonction _srand() initialisée pour générer un flux de clés pendant le déchiffrement
Fig. 3 : Claimloader utilisant une somme de contrôle et une fonction _srand() initialisée pour générer un flux de clés pendant le déchiffrement (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

Pour exécuter leurs charges utiles après déchiffrement, la plupart des variants de Claimloader utilisent des API avec des fonctions de rappel, mais il existe aussi des variants qui créent une nouvelle unité d’exécution ou appellent directement la charge utile en tant que fonction.

Vous trouverez ci-dessous un tableau présentant différents échantillons de Claimloader et leurs techniques​ ​:

Exemple SHA256

Nom DLL

Persistance

 Déchiffrement

 Technique d’exécution

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

Registre et
tâche planifiée "Amind
PDF"

 _srand() keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll

Registre et tâche planifiée
via COM
"Fhbemb Update"

 AES

Appel direct

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

Aucun

 AES, avec une charge utile stockée dans des chaînes sur la pile

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

Registre et tâche planifiée "jxbrowser-chromiumim"

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

Registre et tâche planifiée "jxbrowser-chromiumim"

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

Registre et tâche planifiée "Wargaming
Group"

 _srand() keystream

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

Registre et tâche planifiée "NVIDIA_
GPU_Core"

 DES

EnumFontsW

Plusieurs exemples récents ont ajouté la possibilité d’afficher un PDF factice lors de l’exécution initiale de Claimloader.

Claimloader ouvre un PDF factice pendant l’exécution et supprime ses attributs de fichier
Fig. 4 : Claimloader ouvre un PDF factice pendant l’exécution et supprime ses attributs de fichier

Après avoir ouvert le fichier PDF pour l’utilisateur, Claimloader supprime les attributs de fichier « System » et « Hidden » pour rendre le PDF visible en permanence par l’utilisateur dans le dossier ouvert. 

Le dernier variant de Claimloader au moment de sa publication utilise des noms d’API et de DLL masqués, chiffrés au XOR avec 0x99. Pendant l’exécution, le chargeur décrypte les chaînes et appelle LdrLoadDll et LdrGetProcedureAddress pour résoudre les pointeurs de fonction des API dont il a besoin.

Claimloader résout les noms d'API chiffrés par XOR
Fig. 5 : Claimloader résolvant les noms d’API chiffrés XOR

Toneshell 

Les deux DLL Claimloader associées aux leurres de la mer de Chine méridionale chargent la même porte dérobée Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) comme shellcode, qui est également un PE valide. 

Shellcode du chargeur dans l’en-tête DOS de la porte dérobée ToneShell
Figure 6 : shellcode du chargeur dans l’en-tête DOS de la porte dérobée ToneShell

L’en-tête DOS a été modifié pour inclure un petit stub pour appeler une autre fonction à l’offset 0x4200, tout en fournissant l’adresse de base du PE comme argument. Cette fonction de chargement procède ensuite au chargement manuel du PE, en résolvant les importations nécessaires et en mappant les sections dans la mémoire. Cette technique permet aux développeurs de logiciels malveillants de convertir un PE valide en shellcode après compilation. 

La famille Toneshell comprend un vaste arsenal de variants et a beaucoup évolué au fil du temps. Bien que son code partage de fortes similitudes avec la porte dérobée Pubload, il est suivi séparément par X-Force. Les variants peuvent différer dans les mécanismes C2, les protocoles C2 personnalisés, les commandes prises en charge et les hachages d’API. X-Force regroupe également plusieurs versions d’un framework appelé "Tonedisk" au sein de la famille Toneshell. 

La porte dérobée Toneshell de la campagne ci-dessus est un variant relativement simple, conçu pour établir un shell inversé via son serveur C2. 

Il commence par résoudre ses API et créer un nouveau GUID via CoCreateGuid. Les 16 octets obtenus sont utilisés comme identifiant unique de victime et sont écrits dans un nouveau fichier :

c:\\users\\public\\description.ini

Ensuite, il crée un nouvel événement "Fool87012900137", qu’il utilise comme exclusion mutuelle pour s’assurer qu’il s’agit de la seule instance en cours d’exécution. Toneshell initialise sa structure principale avec l’adresse serveur C2 (45[.]136[.]254[.]193:443), le GUID et le nom de l’ordinateur de la victime, entre autres valeurs de configuration. Il initialise également une implémentation du PRNG "rand" de Microsoft.

Pour chaque balise interrogeant le serveur C2 pour obtenir des commandes, ToneShell génère la clé suivante de 256 octets à partir du PRNG, qui est utilisée pour chiffrer la communication C2, le GUID et le nom de l’ordinateur.

Fonction toneshell pour générer la clé C2 et chiffrer le GUID et le nom de l’ordinateur
Figure 7 : Fonction Toneshell pour générer la clé C2 et chiffrer le GUID et le nom de l’ordinateur

Les balises TCP contiennent les valeurs suivantes formatées avec un en-tête imitant un paquet de données d’application TLS (17 03 03) :

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

Toneshell attend une réponse similaire de la part du serveur :

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Après déchiffrement de la réponse, le premier octet est analysé comme une valeur de commande, le second octet est utilisé comme identifiant pour les pipes créés et le reste comme charge utile de commande.

Avant de gérer la commande, ToneShell crée un nouvelle unité d’exécution qui envoie des balises de réponse de type « heartbeat » toutes les 30 secondes. Chaque balise doit également envoyer l’octet le plus bas correct des 4 octets suivants générés par le flux de clés PRNG initialisé, afin de vérifier l’intégrité de la communication avec le serveur C2. Ces balises sont formatées comme suit :

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

Cette version de Toneshell prend en charge les codes de commande C2 suivants :

Coder

Description

1

Attendre : continue d’attendre les commandes dont la charge utile n’est pas vide.

2

Créer un nouveau fichier (supprimer s’il existe déjà)

3

Écrire les données dans le fichier

4

Écrire les données dans le fichier et confirmer via la balise de réponse

5

Créer un shell inversé via des canaux

6

Écrire une commande shell dans le pipe

7

Terminer le shell inversé

Pour créer un shell inversé, Toneshell configure deux canaux anonymes et crée un nouveau processus cmd.exe à l’aide des canaux pour écrire des données dans stdin et lire des données à partir de stdout et stderr. 

Toneshell utilise des canaux anonymes pour créer un shell inversé
Figure 8 : Toneshell utilisant des pipes anonymes pour créer un shell inversé

En ajoutant les descripteurs aux canaux dans la structure STARTUPINFO du nouveau processus, Toneshell peut exécuter des commandes arbitraires en écrivant simplement dans le canal. Dans un nouveau fil d’exécution, Toneshell recherche de nouvelles sorties dans le canal à l’aide de PeekNamedPipe toutes les 100 ms. Toute nouvelle donnée est lue à partir du canal et renvoyée au serveur C2.

Activité début 2025

En février 2025, X-Force a observé une campagne Hive0154 distribuant la porte dérobée Pubload via des variants similaires de Claimloader comme décrit ci-dessus. Les quatre échantillons ci-dessous partagent le même serveur C2 218[.]255[.]96[.]245:443

Nom du leurre

Pays émetteur

Nom de la DLL Claimloader

Claimloader Mutex

DLL SHA256

Date

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 Pakistan

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 12 février 2025

Inconnu

 Hong Kong

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11 mars 2025

(The_
Military_
Balance_
2025)-Page-
A.zip

 Philippines

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 20 mars 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 États-Unis

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17 avril 2025

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 Philippines

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29 avril 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 Inconnu (probablement Taïwan)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 7 mai 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 Taïwan

 helper_
core.dll

 

 Inconnu

Inconnu

 8 mai 2025

Invitation letter
for the
com
Workshop
- AMB.exe

 Inconnu

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9 mai 2025

Dans le cas du fichier LNK ci-dessus, il exécute l’exécutable légitime renommé pour initier le chargement latéral des DLL de Claimloader :

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

L'un des fichiers ZIP piégés contenait un exécutable légitime renommé « BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe ». Le leurre fait probablement référence à l’Armée de libération du Baloutchistan (BLA), un groupe séparatiste militant, ainsi qu’à d’autres groupes militants associés appelant à la création d’une nouvelle nation du Baloutchistan.  L'utilisation de ces noms dans le leurre est probablement un effort de l'attaquant pour inciter les destinataires intéressés à cliquer sur la pièce jointe.

Un autre fichier, « NSC_Meeting_Minutes_Apr2025.lnk », pourrait faire référence à une réunion du Conseil national de sécurité des États-Unis et aux notes qui y auraient été prises, ce qui pourrait intéresser des personnes au sein du gouvernement américain ou d’autres personnes impliquées dans le renseignement, le secteur universitaire ou le journalisme traitant des affaires gouvernementales américaines. Tout comme le leurre « BLA » visant potentiellement des responsables pakistanais, ce leurre peut être destiné à un public américain avec un nom de fichier captif incitant les destinataires à cliquer sur la pièce jointe.

Un nom de fichier, « Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe », peut faire référence à un prochain sommet de l'Association des nations de l'Asie du Sud-Est (ANASE) qui se tiendra les 26 et 27 mai 2025, en Malaisie.

Le nom du fichier, « 豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe », peut faire référence à la facture de paiement de la centrale électrique Fongde de Taïwan vers avril/mai 2015.

Le dernier fichier, "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe", peut faire référence à un supposé accord de non-divulgation entre deux entreprises aérospatiales taïwanaises concernant les véhicules aériens sans pilote (UAV) et la maintenance des aéronefs.

Pubload

Pubload est une porte dérobée décrite pour la première fois par Cisco Talos en 2022 sous la forme d’un stager sans nom. Vous remarquerez que X-Force identifie le chargeur du shellcode comme Claimloader et le téléchargeur du shellcode de première étape comme Pubload, alors que le rapport de TrendMicro les identifie tous deux comme Pubload. Claimloader a été utilisé pour charger à la fois Pubload et Toneshell. L’équipe T5 suit Pubload et Pubshell en tant que NoFive.

La charge utile du shellcode Pubload commence par décrypter le reste de son shellcode à l’aide d’une clé XOR de 32 octets :

Routine d’auto-déchiffrement du shellcode Pubload
Figure 9 : Routine d’auto-déchiffrement du shellcode Pubload

Cette routine d'auto-déchiffrement n'a été ajoutée qu'à partir du deuxième des quatre échantillons de Claimloader ci-dessus. Après déchiffrement, il résout toutes ses API nécessaires, offusquées via l’algorithme ROR13. Ensuite, il alloue de la nouvelle mémoire et configure sa structure principale avec une adresse serveur C2 codée en dur et une clé de chiffrement, avant d’initier son comportement principal.

La boucle principale de Pubload commence par énumérer les valeurs suivantes :

  • Le numéro de série du volume du disque C, via GetVolumeInformationA. Dissimulé en ajoutant 0x12345678, utilisé comme identifiant de la victime
  • Le nombre de ticks de la machine via GetTickCount
  • Le nom de l’ordinateur de la victime via GetComputerNameA
  • Le nom d’utilisateur de la victime via GetUserNameA

Ces valeurs sont formatées comme la première charge utile de la balise :

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

La charge utile est chiffrée à l’aide de la clé codée en dur dans quatre boucles XOR consécutives avec des décalages de touches différents :

Boucles de chiffrement XOR consécutives
Fig. 10 : boucles de chiffrement XOR consécutives de Pubload

Comme pour Toneshell, la charge utile chiffrée est placée dans un faux paquet de données d'application TLS :

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

Le paquet TCP est envoyé à son serveur C2 codé en dur à

218[.]255[.]96[.]245:443

En retour, Pubload attend une réponse analysée comme

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Après le déchiffrement réussi de la charge utile, le premier octet devrait être 0x06, tandis que le reste des données est analysé comme la structure ci-dessous pour déchiffrer par XOR la charge utile de shellcode reçue :

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

Enfin, Pubload ajoute l’option de protection de la mémoire PAGE_EXECUTE_READWRITE nécessaire et exécute le shellcode, tout en fournissant les informations système énumérées et le serveur C2 comme arguments. 

Deuxième étape de Pubload : Pubshell

Le payload shellcode (Pubshell) immédiatement téléchargé par Pubload présente plusieurs similitudes avec le variant Toneshell évoquée ci-dessus et possède la même fonctionnalité : créer un shell inversé via des pipes.

Cela commence par la procédure de configuration habituelle : résolution des API, allocation de mémoire et initialisation de sa structure principale et de la même clé que son échantillon parent Pubload.

La première balise ressemble à celle de Pubload, sauf pour le premier octet de la charge utile (code balise), qui est 0x0B.

Fonction Pubload/Pubshell pour construire une balise
Figure 11 : fonction Pubload/PubShell pour créer une balise

Encore une fois, le premier octet de la réponse déchiffrée fait office de code de commande pour déterminer le comportement de Pubshell :

Code de commande

Description

1

Réinitialiser l’identification de la victime avec le numéro de série initial masqué

3

Définir un nouvel identifiant de victime

4

Régler la fréquence de la balise en secondes (la valeur initiale est de 10 secondes)

5

Arrêter le balisage

26

Supprimer un fichier

27

Créer un nouveau fichier

29

Écrire les données dans un fichier nouvellement créé

30

Créer un shell inversé via des canaux

31

Écrire une nouvelle commande dans le canal

32

Terminer le shell inversé et fermer tous les descripteurs et processus associés

48

Lire le résultat de la commande (stdin, stderr) à partir du canal

Tout comme Toneshell, Pubshell renvoie différents codes de réponse à son serveur C2, en fonction du résultat d’une commande. Par exemple, les commandes de création d’un nouveau fichier (27) et d’écriture dans ce fichier (29) renvoient toutes deux le code 42 en cas de succès et 43 en cas d’échec. En outre, Pubshell inclut également des chaînes de messages d'erreur plus détaillées, telles que :

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

Des chaînes similaires ont également été observées dans d’autres variantes de Toneshell.

L’implémentation Pubshell du shell inversé via des canaux anonymes est presque identique à celle de Toneshell. Cependant, au lieu de lancer une nouvelle unité d’exécution pour renvoyer immédiatement les résultats, Pubshell nécessite une commande supplémentaire pour renvoyer les résultats de la commande. Il ne prend également en charge que l’exécution de "cmd.ex" en tant que shell.

À bien des égards, Pubload et Pubshell semblent être une « version light » de Toneshell développée indépendamment, avec moins de sophistication et des chevauchements de code évidents.

Ciblage de Taïwan avec le ver USB HIUPAN

En décembre 2024, X-Force a observé une activité supplémentaire de Hive0154 ciblant Taïwan avec la porte dérobée Pubload. En mars, X-Force a collaboré avec une importante entreprise manufacturière pour enquêter sur une infection à Pubload à Taïwan. Lors de cet incident, des acteurs de la menace ont utilisé le ver USB HIUPAN pour diffuser Claimloader et Pubload via des périphériques USB. Le ver est probablement utilisé comme charge utile de suivi dans les infections initiales par Pubload afin d’augmenter le nombre d’infections et d’atteindre potentiellement des réseaux susceptibles d’être mis sous surveillance aérienne. Le lien entre les deux variants de logiciels malveillants a été précédemment documenté par Trend Micro.

HIUPAN (alias U2DiskWatch) est un ver USB dont la DLL principale "u2ec.dll" est chargée latéralement via un fichier EXE légitime "UsbConfig.exe" lorsqu’un utilisateur l’exécute involontairement depuis un périphérique USB. Le ver accomplit les tâches suivantes :

  • Se copie lui-même ainsi que ses composants logiciels malveillants dans un répertoire de la machine de la victime : C:\ProgramData\Intel\_\
  • Établit la persistance via la clé de registre HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Modifie les clés de registre pour garantir que les fichiers et les extensions cachés ne sont pas visibles dans Windows Explorer : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Exécute l’exécutable principal du logiciel malveillant qui l’accompagne et surveille le processus pour le redémarrer si nécessaire
  • Surveille les nouvelles connexions de périphériques USB. Si une connexion est détectée, HIUPAN se copie lui-même ainsi que les composants du logiciel malveillant associés sur le nouveau lecteur dans un sous-répertoire caché « <Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\ » et masque tout autre fichier existant pour s’assurer que « UsbConfig.exe » est le seul fichier visible sur l'appareil

HIUPAN utilise un fichier de configuration « $.ini » pour stocker un multiplicateur de mise en veille et les noms de fichiers de ses composants et du logiciel malveillant associé. Il est donc extrêmement facile de configurer le ver pour propager n’importe quel logiciel malveillant en échangeant simplement les fichiers de charge utile et la configuration textuelle.

Le fichier de configuration observé dans les infections basées à Taïwan propageant Claimloader et Pubload est affiché ci-dessous :

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

Code de commande

Description

1

Réinitialiser l’identification de la victime avec le numéro de série initial masqué

3

Définir un nouvel identifiant de victime

4

Régler la fréquence de la balise en secondes (la valeur initiale est de 10 secondes)

5

Arrêter le balisage

26

Supprimer un fichier

27

Créer un nouveau fichier

29

Écrire les données dans un fichier nouvellement créé

30

Créer un shell inversé via des canaux

31

Écrire une nouvelle commande dans le canal

32

Terminer le shell inversé et fermer tous les descripteurs et processus associés

48

Lire le résultat de la commande (stdin, stderr) à partir du canal

HIUPAN n’est pas le seul ver USB utilisé par Hive0154. Plusieurs autres frameworks et variantes distribuant des logiciels malveillants, tels que Toneshell et Pubshell, continuent de se propager activement et sont régulièrement téléchargés sur VirusTotal.

Conclusion

La vaste portée opérationnelle de Hive0154 évoquée sur ce blog est mise en évidence grâce à l’utilisation de divers outils, de techniques innovantes et d’un large éventail de victimes potentielles. Des groupes proches de la Chine, tels que Hive0154, continueront d’affiner leur vaste arsenal de logiciels malveillants et continueront de se concentrer sur les entreprises des secteurs privé et public basées en Asie orientale. Son large éventail d’outils, ses cycles de développement fréquents et sa distribution de logiciels malveillants basée sur un ver USB en font un acteur de la menace sophistiqué. Les entités exposées au risque face aux activités de Hive0154 doivent maintenir un niveau élevé de sécurité défensive et rester vigilantes à l’égard des techniques mentionnées dans le présent rapport.

Recommandations

  • Surveillez et recherchez dans les réseaux les paquets de données d’application TLS 1.2 (en-tête : 17 03 03) sans poignée de main TLS précédente comme étant le signe d’une balise Pubload ou Toneshell
  • Surveillez et recherchez sur les réseaux de faux paquets de données d'application TLS 1.3 (en-tête : 17 03 04), qui sont utilisés par certaines variantes de Toneshell. Les vrais paquets TLS 1.3 sont envoyés avec des en-têtes TLS 1.2 hérités pour la rétrocompatibilité avec les proxys qui n'acceptent que certaines versions TLS.
  • Surveillez et recherchez les clés USB contenant des noms d’exécutables suspects, des DLL et des répertoires cachés qui pourraient indiquer qu’un appareil est infecté par un ver USB
  • Surveillez et recherchez les répertoires suspects et inconnus dans C:\ProgramData\ qui contiennent un EXE légitime vulnérable au chargement latéral de DLL et une DLL correspondante
  • Surveillez et recherchez les techniques de persistance telles que la clé Run du registre et les tâches planifiées.
  • Surveillez toute activité inhabituelle sur le réseau, la persistance ou la modification de fichiers provenant de processus exécutables apparemment inoffensifs qui chargent une DLL malveillante

Indicateurs de compromission

Indicateur

Type d’indicateur

Contexte

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Archive piégée Hive0154

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Archive piégée Hive0154

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Archive piégée Hive0154

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

Hive0154 SFX militarisé

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Archive piégée Hive0154

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Archive piégée Hive0154

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Archive piégée Hive0154

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Archive piégée Hive0154

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Archive piégée Hive0154

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Archive piégée Hive0154

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Archive piégée Hive0154

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Archive piégée Hive0154

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Archive piégée Hive0154

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Archive piégée Hive0154

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
acbb09c9050c4

SHA256

Archive piégée Hive0154

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
a752ba3c3fd

SHA256

Archive piégée Hive0154

cc4e5d175fc85685e7f31c2e7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Archive piégée Hive0154

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Archive piégée Hive0154

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Archive piégée Hive0154

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Archive piégée Hive0154

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Archive piégée Hive0154

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Archive piégée Hive0154

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
a6cab1ef5af

SHA256

Archive piégée Hive0154

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Archive piégée Hive0154

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Archive piégée Hive0154

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Archive piégée Hive0154

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Exemple de Claimloader précoce

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

DLL Claimloader

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

DLL Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL Claimloader

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

DLL Claimloader

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

DLL Claimloader

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

DLL Claimloader

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

DLL Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL Claimloader

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

DLL Claimloader

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

DLL Claimloader

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

DLL Claimloader

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

DLL Claimloader

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

DLL Claimloader

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
f71ed8ec

 

SHA256

 

DLL Claimloader

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

DLL Claimloader

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68ddf1023b

SHA256

Porte dérobée Toneshell

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

Porte dérobée Toneshell

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

Porte dérobée Toneshell

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
cd3f0666ead

SHA256

Porte dérobée Pubload

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Porte dérobée Pubload

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Porte dérobée Pubshell

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

Ver USB HIUPAN

f5fd2905d90755d021e1442c34f
a628d56598ae1043a7c1103bd5
e21c7706168

SHA256

Ver USB HIUPAN

45[.]136[.]254[.]193:443

Adresse IP, port

Serveur C2 Toneshell

45[.]144[.]165[.]66

Adresse IP, port

Serveur C2 Toneshell

218[.]255[.]96[.]245:443

Adresse IP, port

Serveur Pubload C2

103[.]27[.]202[.]132

Adresse IP, port

Serveur C2 Toneshell

45[.]12[.]91[.]223:443

Adresse IP, port

Serveur Pubload C2

IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Gardez une longueur d'avance – intégrez-le dès aujourd'hui !

