En mai 2025, IBM X-Force suit une campagne d’espionnage présumée en utilisant des archives ZIP militarisées pour distribuer les portes dérobées Pubload et Toneshell. X-Force attribue cette campagne, qui a probablement débuté fin 2024, à Hive0154, un acteur de la menace aligné sur la Chine, dont les opérations recoupent celles de groupes suivis sous les noms de Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris et Earth Preta. Les archives contiennent des leurres à thématique politique, probablement destinés à attirer le personnel du gouvernement, militaire et diplomatique des Philippines, des États-Unis et du Pakistan. Les sous-clusters Hive0154 ont utilisé des tactiques similaires par le passé. Plus précisément, ils ont utilisé le logiciel malveillant Claimloader pour installer des portes dérobées persistantes facilitant l’accès direct aux environnements des victimes afin d’acquérir des informations approfondies sur les décisions émergentes des gouvernements mondiaux. X-Force a également observé que le groupe utilisait un ver USB pour diffuser Pubload à Taïwan, ce qui pourrait permettre d’atteindre des réseaux susceptibles d’être protégés par un système de surveillance aérienne.
Depuis au moins 2022, Hive0154 a utilisé notamment la famille de logiciels malveillants Toneshell pour mener des Opérations mondiales. Les logiciels malveillants liés à Toneshell, tels que Pubload et Pubshell (alias NoFive), indiquent que le groupe maintient des branches de logiciels malveillants distinctes dans le cadre de ses opérations. Le groupe se compose de plusieurs sous-groupes et cible des entreprises publiques et privées, notamment les groupes de réflexion, les groupes de politique publique, les agences gouvernementales et les particuliers. X-Force estime que cet acteur malveillant représente une menace sérieuse, comme en témoignent son utilisation de plusieurs chargeurs de logiciels malveillants indépendants, de familles de chevaux de Troie et de vers USB, ainsi que les rapports réguliers sur ses activités publiés par plusieurs équipes de recherche en sécurité.
En 2023, Palo Alto a signalé que l’un des sous-clusters Hive0154 suivis par X-Force utilisait divers leurres pour diffuser la porte dérobée Pubload. Certains des leurres ci-dessous coïncident également avec une campagne contre le Myanmar, comme l’a signalé le CSIRT CTI en janvier 2024. Les leurres ci-dessous montrent l’intérêt constant de la Chine pour les pays de l’Asie du Sud-Est et l’Australie.
Nom du leurre
Description
SHA256
Date
Notice re UEC, (04-25-2023 Day).zip
Inconnu
167a842b97d0
Avril 2023
April 27 updated party list.zip
Inconnu
41276827827b9
Avril 2023
Biography of Senator the Hon Don Farrell.zip
Le nom du fichier semble être une copie directe du titre figurant sur le site Web du ministère australien du commerce et du tourisme concernant le Ministre australien du commerce.
4fbfbf1cd2efaef1
Avril 2023
Le SAC a certaines exigences en matière d'instructions pour l’élection générale
Inconnu
782e074601f5b1
Avril 2023
National Security Priority Programs.zip
Inconnu
a02766b3950dbb
Mai 2023
230605 Ministerial meeting minutes (1).zip
Le fichier peut faire référence à la déclaration faite à Paris le 8 juin 2023 par les ministres de l’Australie, du Canada, du Japon, des États-Unis, du Royaume-Uni et de la Nouvelle-Zélande sur les pratiques commerciales abusives concernant la région Asie-Pacifique.
178e92c59afe4c
Juin 2023
NUG’s Foreign Policy Strategy.zip
La formulation apparaît sur cette page web du CSIS Indonésie, concernant une situation qui se déroule au Myanmar, en proie à une guerre civile, avec des rapports suggérant que la Chine envisagerait d’envoyer du personnel de sécurité pour soutenir le gouvernement de la junte militaire du Myanmar, d’après le rapport de décembre 2024.
ba7c456f229adc
Août 2023
Analysis of the third meeting of NDSC.zip
Le dossier faisait peut-être partie d’une campagne menée contre le gouvernement de la Birmanie par Stately Taurus début 2024. Vers octobre 2023, la Birmanie est plongée dans une guerre civile entre les factions rebelles et les forces du gouvernement. Les forces rebelles ont pris le contrôle d’une route commerciale clé pour la Chine.
4e8717c9812318f8
Novembre 2023
Les fichiers ZIP armés contiennent généralement un exécutable légitime renommé, tel que SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), qui est utilisé pour charger latéralement une DLL malveillante. La DLL fait partie de la famille Claimloader, qui comprend différentes variantes de chargeurs shellcode utilisées par Hive0154 au fil des années pour charger des charges utiles associées aux familles de portes dérobées Pubload et Toneshell.
Tout au long de 2024, d’autres activités de Hive0154 ont été enregistrées, dont certaines ont été rapportées par FatzQuatz, le compte Twitter/X de StrikeReadyLabs , et Hunt.io:
Nom du leurre
Description
SHA256
Date
Meeting Request--30-31-05.zip
Inconnu
09597c284
Mai 2024
EBO Brainstorming Friday 24 to
Inconnu
78a60bea56
Mai 2024
Attendee list template (24-6-2024).zip
Inconnu
b7d13787c8be
Juin 2024
Notice of Final Meeting.zip
Inconnu
fef713b23717
Juillet 2024
a1.Guidelines for Driving Soft Power to Promote Thailand’s Image and
Inconnu
727ccc4560
Juillet 2024
Interview avec Surachet
Inconnu
f00e5ff2dc47
Août 2024
IISS Prague Defence Summit 2024.zip
Campagne Mustang Panda précédemment signalée, visant les participants au sommet de la défense de l’IISS à Prague, en novembre 2024.
1387ec22a339
Août 2024
NDI-IRI_Election_
Le nom du fichier semble faire référence au rapport du NDI-IRI publié en juin 2023 concernant les élections au Nigeria. Le rapport a été commandé avec le soutien de l’Agence américaine pour le développement international (USAID).
ac989df2715a
Août 2024
leadership information list.zip
Inconnu
3a37a127a4253
Août 2024
Request for Inputs for the 6th
Le leurre fait probablement référence à la réunion bilatérale entre la Thaïlande et les Philippines qui a eu lieu en octobre 2024.
057fd248e0219
Septembre 2024
Bencana_Air_
Ce document semble provenir de l’Agence nationale de gestion des catastrophes de Malaisie (NADMA, Agensi Pengurusan Bencana Negara) et des mesures qu’elle a prises pour faire face à la pandémie de Covid-19 en Malaisie.
cc4e5d175fc85685
octobre 2024
La technique de sideloading des DLL dans les ZIP reste la même, mais différentes versions de la DLL Claimloader ont été enregistrées avec des modifications apportées à l’algorithme de déchiffrement. Certaines campagnes ont également utilisé directement une DLL ToneShell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b).
X-Force a observé plusieurs nouvelles campagnes fin 2024 et début 2025 suivant les mêmes TTP, qui ont été attribuées au même sous-cluster Hive0154. Les dernières variantes de Claimloader permettent également d’ouvrir des PDF leurres dans le cadre de la routine d’installation, avant d’injecter leurs charges utiles shellcode. Les PDF, ainsi que les DLL, utilisent des attributs de fichier qui ne sont pas visibles pour un utilisateur standard.
Deux leurres et leurs noms de fichiers associés mentionnent spécifiquement les tensions dans la mer de Chine méridionale entre la Chine et les Philippines, le gouvernement philippin appelant à une coopération militaire étroite avec les États-Unis à la lumière des activités croissantes de l'armée chinoise. Ces développements susciteront probablement un intérêt accru de la part des destinataires, qui seront peut-être plus enclins à ouvrir la pièce jointe. Ces destinataires peuvent inclure le gouvernement philippin, le personnel militaire et diplomatique, et peuvent également concerner des membres du gouvernement américain et des militaires américains dont le devoir pourrait justifier d’aborder le sujet présenté par les noms de fichiers.
Nom du leurre
Nom de fichier leurre
DLL SHA256 associée
Date
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
octobre 2024
Defense_
2025.pdf
a6dfb41bbad08e3f
Novembre 2024
Les deux leurres chargent une DLL Claimloader, qui charge la même porte dérobée ToneShell, détaillée plus loin.
Claimloader est une famille de chargeurs utilisée par Hive0154 par le passé pour charger différentes charges utiles en shellcode, notamment Toneshell et Pubload. Au fil des ans, elle a évolué en plusieurs versions différentes aux fonctionnalités variées.
L'un des premiers échantillons, compilé fin 2021, a été publié par Unit 42 de Palo Alto. Il utilise une technique intéressante, en copiant le shellcode dans une mémoire tampon via l’API UuidFromStringA. Il exécute ensuite le shellcode en tant que fonction de rappel transmise à EnumSystemLanguageGroupsA.
Une technique similaire a déjà été décrite par le NCC Group.
En novembre 2022, LAC a signalé un variant Claimloader visant probablement des organisations gouvernementales aux Philippines dans une chaîne d’infection presque identique à celle de 2023-2024 détaillée dans les sections précédentes. Le variant stocke sa charge utile sous forme de blocs de 32 octets de chaînes de pile cryptées, avant de les déchiffrer individuellement. Il copie également l’exécutable légitime et le DLL Claimloader dans un nouveau répertoire avant de tenter d’établir la persistance via le registre ou les tâches planifiées, en faisant ainsi un installateur en plus d’un chargeur.
Lors de l’exécution, le logiciel malveillant commence par créer un mutex codé en dur afin de s’assurer qu’une seule instance de Claimloader est en cours d’exécution. Ensuite, il vérifie la présence d’un argument spécifique en ligne de commande, qui n’est pas présent lors de la première exécution. Si c’est le cas, Claimloader copiera à la fois l’EXE et la DLL dans un nouveau répertoire discret, souvent sous "C:\ProgramData\", en imitant un répertoire de logiciel tel que :
Ce comportement est utilisé par la plupart des échantillons Claimloader les plus récents et peut également conduire à des exécutions en sandbox infructueuses.
Ensuite, le logiciel malveillant établit la persistance lors de la connexion en stockant le chemin de l’EXE avec l’argument de ligne de commande correct dans une nouvelle clé de registre portant à nouveau un nom de logiciel discret sous :
Claimloader utilise également un mécanisme de persistance secondaire en créant le processus suivant pour créer une tâche planifiée qui exécutera le chargeur toutes les 5 minutes :
Veuillez noter que les techniques exactes peuvent varier ; un échantillon, par exemple, a utilisé des objets COM pour planifier la tâche en se connectant à l’interface ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
Les algorithmes de déchiffrement de Claimloader ont varié d’échantillons entre le DES (dernière version), au moins deux implémentations de routines de déchiffrement basées sur AES et XOR utilisant une valeur de départ codée en dur pour générer un flux de clés via la fonction _srand() :
Pour exécuter leurs charges utiles après déchiffrement, la plupart des variants de Claimloader utilisent des API avec des fonctions de rappel, mais il existe aussi des variants qui créent une nouvelle unité d’exécution ou appellent directement la charge utile en tant que fonction.
Vous trouverez ci-dessous un tableau présentant différents échantillons de Claimloader et leurs techniques :
Exemple SHA256
Nom DLL
Persistance
Déchiffrement
Technique d’exécution
3af7807efb105
Amind
Registre et
_srand() keystream
EnumPropsExW
8957c8de9032
libemb
Registre et tâche planifiée
AES
Appel direct
d665f55555f87
CCleaner
Aucun
AES, avec une charge utile stockée dans des chaînes sur la pile
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
Registre et tâche planifiée "jxbrowser-chromiumim"
AES
EnumFontsW
a6dfb41bbad08
jx
Registre et tâche planifiée "jxbrowser-chromiumim"
AES
EnumFontsW
900af2b8d03b4
helper_
Registre et tâche planifiée "Wargaming
_srand() keystream
EnumFontsW
4c66e7ebf2ca2e
helper_
Registre et tâche planifiée "NVIDIA_
DES
EnumFontsW
Plusieurs exemples récents ont ajouté la possibilité d’afficher un PDF factice lors de l’exécution initiale de Claimloader.
Après avoir ouvert le fichier PDF pour l’utilisateur, Claimloader supprime les attributs de fichier « System » et « Hidden » pour rendre le PDF visible en permanence par l’utilisateur dans le dossier ouvert.
Le dernier variant de Claimloader au moment de sa publication utilise des noms d’API et de DLL masqués, chiffrés au XOR avec 0x99. Pendant l’exécution, le chargeur décrypte les chaînes et appelle LdrLoadDll et LdrGetProcedureAddress pour résoudre les pointeurs de fonction des API dont il a besoin.
Les deux DLL Claimloader associées aux leurres de la mer de Chine méridionale chargent la même porte dérobée Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) comme shellcode, qui est également un PE valide.
L’en-tête DOS a été modifié pour inclure un petit stub pour appeler une autre fonction à l’offset 0x4200, tout en fournissant l’adresse de base du PE comme argument. Cette fonction de chargement procède ensuite au chargement manuel du PE, en résolvant les importations nécessaires et en mappant les sections dans la mémoire. Cette technique permet aux développeurs de logiciels malveillants de convertir un PE valide en shellcode après compilation.
La famille Toneshell comprend un vaste arsenal de variants et a beaucoup évolué au fil du temps. Bien que son code partage de fortes similitudes avec la porte dérobée Pubload, il est suivi séparément par X-Force. Les variants peuvent différer dans les mécanismes C2, les protocoles C2 personnalisés, les commandes prises en charge et les hachages d’API. X-Force regroupe également plusieurs versions d’un framework appelé "Tonedisk" au sein de la famille Toneshell.
La porte dérobée Toneshell de la campagne ci-dessus est un variant relativement simple, conçu pour établir un shell inversé via son serveur C2.
Il commence par résoudre ses API et créer un nouveau GUID via CoCreateGuid. Les 16 octets obtenus sont utilisés comme identifiant unique de victime et sont écrits dans un nouveau fichier :
Ensuite, il crée un nouvel événement "Fool87012900137", qu’il utilise comme exclusion mutuelle pour s’assurer qu’il s’agit de la seule instance en cours d’exécution. Toneshell initialise sa structure principale avec l’adresse serveur C2 (45[.]136[.]254[.]193:443), le GUID et le nom de l’ordinateur de la victime, entre autres valeurs de configuration. Il initialise également une implémentation du PRNG "rand" de Microsoft.
Pour chaque balise interrogeant le serveur C2 pour obtenir des commandes, ToneShell génère la clé suivante de 256 octets à partir du PRNG, qui est utilisée pour chiffrer la communication C2, le GUID et le nom de l’ordinateur.
Les balises TCP contiennent les valeurs suivantes formatées avec un en-tête imitant un paquet de données d’application TLS (17 03 03) :
Toneshell attend une réponse similaire de la part du serveur :
Après déchiffrement de la réponse, le premier octet est analysé comme une valeur de commande, le second octet est utilisé comme identifiant pour les pipes créés et le reste comme charge utile de commande.
Avant de gérer la commande, ToneShell crée un nouvelle unité d’exécution qui envoie des balises de réponse de type « heartbeat » toutes les 30 secondes. Chaque balise doit également envoyer l’octet le plus bas correct des 4 octets suivants générés par le flux de clés PRNG initialisé, afin de vérifier l’intégrité de la communication avec le serveur C2. Ces balises sont formatées comme suit :
Cette version de Toneshell prend en charge les codes de commande C2 suivants :
Coder
Description
1
Attendre : continue d’attendre les commandes dont la charge utile n’est pas vide.
2
Créer un nouveau fichier (supprimer s’il existe déjà)
3
Écrire les données dans le fichier
4
Écrire les données dans le fichier et confirmer via la balise de réponse
5
Créer un shell inversé via des canaux
6
Écrire une commande shell dans le pipe
7
Terminer le shell inversé
Pour créer un shell inversé, Toneshell configure deux canaux anonymes et crée un nouveau processus cmd.exe à l’aide des canaux pour écrire des données dans stdin et lire des données à partir de stdout et stderr.
En ajoutant les descripteurs aux canaux dans la structure STARTUPINFO du nouveau processus, Toneshell peut exécuter des commandes arbitraires en écrivant simplement dans le canal. Dans un nouveau fil d’exécution, Toneshell recherche de nouvelles sorties dans le canal à l’aide de PeekNamedPipe toutes les 100 ms. Toute nouvelle donnée est lue à partir du canal et renvoyée au serveur C2.
En février 2025, X-Force a observé une campagne Hive0154 distribuant la porte dérobée Pubload via des variants similaires de Claimloader comme décrit ci-dessus. Les quatre échantillons ci-dessous partagent le même serveur C2 218[.]255[.]96[.]245:443
Nom du leurre
Pays émetteur
Nom de la DLL Claimloader
Claimloader Mutex
DLL SHA256
Date
BLA,BLF,
Pakistan
SolidPDF
TB2025
c7efd45aa7
12 février 2025
Inconnu
Hong Kong
SolidPDF
MTM2025
087ccc7f6c02
11 mars 2025
(The_
Philippines
chrome_
CATM2025
216188ee52b0
20 mars 2025
NSC_
États-Unis
helper_
GameBox
900af2b8d03b
17 avril 2025
Invitation to
Philippines
helper_
GameGpu
4c66e7ebf2ca2
29 avril 2025
豐德電廠
Inconnu (probablement Taïwan)
helper_
GameFind
112118aad0db9ff
7 mai 2025
英諾飛保
Taïwan
helper_
Inconnu
Inconnu
8 mai 2025
Invitation letter
Inconnu
helper_
GameBox
7476d6b375d8
9 mai 2025
Dans le cas du fichier LNK ci-dessus, il exécute l’exécutable légitime renommé pour initier le chargement latéral des DLL de Claimloader :
L'un des fichiers ZIP piégés contenait un exécutable légitime renommé « BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe ». Le leurre fait probablement référence à l’Armée de libération du Baloutchistan (BLA), un groupe séparatiste militant, ainsi qu’à d’autres groupes militants associés appelant à la création d’une nouvelle nation du Baloutchistan. L'utilisation de ces noms dans le leurre est probablement un effort de l'attaquant pour inciter les destinataires intéressés à cliquer sur la pièce jointe.
Un autre fichier, « NSC_Meeting_Minutes_Apr2025.lnk », pourrait faire référence à une réunion du Conseil national de sécurité des États-Unis et aux notes qui y auraient été prises, ce qui pourrait intéresser des personnes au sein du gouvernement américain ou d’autres personnes impliquées dans le renseignement, le secteur universitaire ou le journalisme traitant des affaires gouvernementales américaines. Tout comme le leurre « BLA » visant potentiellement des responsables pakistanais, ce leurre peut être destiné à un public américain avec un nom de fichier captif incitant les destinataires à cliquer sur la pièce jointe.
Un nom de fichier, « Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe », peut faire référence à un prochain sommet de l'Association des nations de l'Asie du Sud-Est (ANASE) qui se tiendra les 26 et 27 mai 2025, en Malaisie.
Le nom du fichier, « 豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe », peut faire référence à la facture de paiement de la centrale électrique Fongde de Taïwan vers avril/mai 2015.
Le dernier fichier, "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe", peut faire référence à un supposé accord de non-divulgation entre deux entreprises aérospatiales taïwanaises concernant les véhicules aériens sans pilote (UAV) et la maintenance des aéronefs.
Pubload est une porte dérobée décrite pour la première fois par Cisco Talos en 2022 sous la forme d’un stager sans nom. Vous remarquerez que X-Force identifie le chargeur du shellcode comme Claimloader et le téléchargeur du shellcode de première étape comme Pubload, alors que le rapport de TrendMicro les identifie tous deux comme Pubload. Claimloader a été utilisé pour charger à la fois Pubload et Toneshell. L’équipe T5 suit Pubload et Pubshell en tant que NoFive.
La charge utile du shellcode Pubload commence par décrypter le reste de son shellcode à l’aide d’une clé XOR de 32 octets :
Cette routine d'auto-déchiffrement n'a été ajoutée qu'à partir du deuxième des quatre échantillons de Claimloader ci-dessus. Après déchiffrement, il résout toutes ses API nécessaires, offusquées via l’algorithme ROR13. Ensuite, il alloue de la nouvelle mémoire et configure sa structure principale avec une adresse serveur C2 codée en dur et une clé de chiffrement, avant d’initier son comportement principal.
La boucle principale de Pubload commence par énumérer les valeurs suivantes :
Ces valeurs sont formatées comme la première charge utile de la balise :
La charge utile est chiffrée à l’aide de la clé codée en dur dans quatre boucles XOR consécutives avec des décalages de touches différents :
Comme pour Toneshell, la charge utile chiffrée est placée dans un faux paquet de données d'application TLS :
Le paquet TCP est envoyé à son serveur C2 codé en dur à
En retour, Pubload attend une réponse analysée comme
Après le déchiffrement réussi de la charge utile, le premier octet devrait être 0x06, tandis que le reste des données est analysé comme la structure ci-dessous pour déchiffrer par XOR la charge utile de shellcode reçue :
Enfin, Pubload ajoute l’option de protection de la mémoire PAGE_EXECUTE_READWRITE nécessaire et exécute le shellcode, tout en fournissant les informations système énumérées et le serveur C2 comme arguments.
Le payload shellcode (Pubshell) immédiatement téléchargé par Pubload présente plusieurs similitudes avec le variant Toneshell évoquée ci-dessus et possède la même fonctionnalité : créer un shell inversé via des pipes.
Cela commence par la procédure de configuration habituelle : résolution des API, allocation de mémoire et initialisation de sa structure principale et de la même clé que son échantillon parent Pubload.
La première balise ressemble à celle de Pubload, sauf pour le premier octet de la charge utile (code balise), qui est 0x0B.
Encore une fois, le premier octet de la réponse déchiffrée fait office de code de commande pour déterminer le comportement de Pubshell :
Code de commande
Description
1
Réinitialiser l’identification de la victime avec le numéro de série initial masqué
3
Définir un nouvel identifiant de victime
4
Régler la fréquence de la balise en secondes (la valeur initiale est de 10 secondes)
5
Arrêter le balisage
26
Supprimer un fichier
27
Créer un nouveau fichier
29
Écrire les données dans un fichier nouvellement créé
30
Créer un shell inversé via des canaux
31
Écrire une nouvelle commande dans le canal
32
Terminer le shell inversé et fermer tous les descripteurs et processus associés
48
Lire le résultat de la commande (stdin, stderr) à partir du canal
Tout comme Toneshell, Pubshell renvoie différents codes de réponse à son serveur C2, en fonction du résultat d’une commande. Par exemple, les commandes de création d’un nouveau fichier (27) et d’écriture dans ce fichier (29) renvoient toutes deux le code 42 en cas de succès et 43 en cas d’échec. En outre, Pubshell inclut également des chaînes de messages d'erreur plus détaillées, telles que :
Des chaînes similaires ont également été observées dans d’autres variantes de Toneshell.
L’implémentation Pubshell du shell inversé via des canaux anonymes est presque identique à celle de Toneshell. Cependant, au lieu de lancer une nouvelle unité d’exécution pour renvoyer immédiatement les résultats, Pubshell nécessite une commande supplémentaire pour renvoyer les résultats de la commande. Il ne prend également en charge que l’exécution de "cmd.ex" en tant que shell.
À bien des égards, Pubload et Pubshell semblent être une « version light » de Toneshell développée indépendamment, avec moins de sophistication et des chevauchements de code évidents.
En décembre 2024, X-Force a observé une activité supplémentaire de Hive0154 ciblant Taïwan avec la porte dérobée Pubload. En mars, X-Force a collaboré avec une importante entreprise manufacturière pour enquêter sur une infection à Pubload à Taïwan. Lors de cet incident, des acteurs de la menace ont utilisé le ver USB HIUPAN pour diffuser Claimloader et Pubload via des périphériques USB. Le ver est probablement utilisé comme charge utile de suivi dans les infections initiales par Pubload afin d’augmenter le nombre d’infections et d’atteindre potentiellement des réseaux susceptibles d’être mis sous surveillance aérienne. Le lien entre les deux variants de logiciels malveillants a été précédemment documenté par Trend Micro..
HIUPAN (alias U2DiskWatch) est un ver USB dont la DLL principale "u2ec.dll" est chargée latéralement via un fichier EXE légitime "UsbConfig.exe" lorsqu’un utilisateur l’exécute involontairement depuis un périphérique USB. Le ver accomplit les tâches suivantes :
HIUPAN utilise un fichier de configuration « $.ini » pour stocker un multiplicateur de mise en veille et les noms de fichiers de ses composants et du logiciel malveillant associé. Il est donc extrêmement facile de configurer le ver pour propager n’importe quel logiciel malveillant en échangeant simplement les fichiers de charge utile et la configuration textuelle.
Le fichier de configuration observé dans les infections basées à Taïwan propageant Claimloader et Pubload est affiché ci-dessous :
Code de commande
Description
1
Réinitialiser l’identification de la victime avec le numéro de série initial masqué
3
Définir un nouvel identifiant de victime
4
Régler la fréquence de la balise en secondes (la valeur initiale est de 10 secondes)
5
Arrêter le balisage
26
Supprimer un fichier
27
Créer un nouveau fichier
29
Écrire les données dans un fichier nouvellement créé
30
Créer un shell inversé via des canaux
31
Écrire une nouvelle commande dans le canal
32
Terminer le shell inversé et fermer tous les descripteurs et processus associés
48
Lire le résultat de la commande (stdin, stderr) à partir du canal
HIUPAN n’est pas le seul ver USB utilisé par Hive0154. Plusieurs autres frameworks et variantes distribuant des logiciels malveillants, tels que Toneshell et Pubshell, continuent de se propager activement et sont régulièrement téléchargés sur VirusTotal.
La vaste portée opérationnelle de Hive0154 évoquée sur ce blog est mise en évidence grâce à l’utilisation de divers outils, de techniques innovantes et d’un large éventail de victimes potentielles. Des groupes proches de la Chine, tels que Hive0154, continueront d’affiner leur vaste arsenal de logiciels malveillants et continueront de se concentrer sur les entreprises des secteurs privé et public basées en Asie orientale. Son large éventail d’outils, ses cycles de développement fréquents et sa distribution de logiciels malveillants basée sur un ver USB en font un acteur de la menace sophistiqué. Les entités exposées au risque face aux activités de Hive0154 doivent maintenir un niveau élevé de sécurité défensive et rester vigilantes à l’égard des techniques mentionnées dans le présent rapport.
Indicateur
Type d’indicateur
Contexte
167a842b97d0434f20e0
SHA256
Archive piégée Hive0154
41276827827b95c9b5a9f
SHA256
Archive piégée Hive0154
4fbfbf1cd2efaef1906f0bd2
SHA256
Archive piégée Hive0154
782e074601f5b17e045d7c
SHA256
Hive0154 SFX militarisé
a02766b3950dbb86a1293
SHA256
Archive piégée Hive0154
178e92c59afe4c59043657
SHA256
Archive piégée Hive0154
ba7c456f229adc4bd75bfb8
SHA256
Archive piégée Hive0154
4e8717c9812318f8775a94fc
SHA256
Archive piégée Hive0154
09597c2844067d8ee671313
SHA256
Archive piégée Hive0154
78a60bea5693138c771386b8
SHA256
Archive piégée Hive0154
fef713b237179f4d6bea899687
SHA256
Archive piégée Hive0154
727ccc4560fb11627870ff2cac2
SHA256
Archive piégée Hive0154
f00e5ff2dc47a7625c86ac8978
SHA256
Archive piégée Hive0154
1387ec22a3391647e25d2cb722
SHA256
Archive piégée Hive0154
ac989df2715a26df9e039e9e0d
SHA256
Archive piégée Hive0154
3a37a127a425360d00588bf652
SHA256
Archive piégée Hive0154
cc4e5d175fc85685e7f31c2e7797
SHA256
Archive piégée Hive0154
e4a4803cb04b58c07230b1368
SHA256
Archive piégée Hive0154
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Archive piégée Hive0154
b7d13787c8be72dcc584c516e7
SHA256
Archive piégée Hive0154
76cc0fd64a2fc67bc0146f04819
SHA256
Archive piégée Hive0154
c49c686c26845b9ef0913642ca
SHA256
Archive piégée Hive0154
b8865a77cb8f0706b50d4d85bf
SHA256
Archive piégée Hive0154
98c1527d4b064fcf4a95488c345
SHA256
Archive piégée Hive0154
6f5c50f37b6753366066c65b3e
SHA256
Archive piégée Hive0154
d99e33878e23582308b1e217aff
SHA256
Archive piégée Hive0154
cf61b7a9bdde2a39156d88f309f
SHA256
Exemple de Claimloader précoce
93fb8b78d65a9ef790be6d2055
SHA256
DLL Claimloader
895b8e0c1d2e4cae16508ded50
SHA256
DLL Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL Claimloader
3af7807efb10525196c562c1f91d2
SHA256
DLL Claimloader
8957c8de9032b347ee1a15abbae
SHA256
DLL Claimloader
d665f55555f87b515cb8ef1adce9
SHA256
DLL Claimloader
c7efd45aa7dd1ecd05571f15d83e
SHA256
DLL Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL Claimloader
8f4ee5e0b85020f2a040f54dccd
SHA256
DLL Claimloader
087ccc7f6c022dc5fd40ade3ef6a
SHA256
DLL Claimloader
216188ee52b067f761bdf3c45663
SHA256
DLL Claimloader
900af2b8d03b40cdb027126d47
SHA256
DLL Claimloader
4c66e7ebf2ca2ecf00379463835
SHA256
DLL Claimloader
112118aad0db9ff6c78dce2e81d9
SHA256
DLL Claimloader
7476d6b375d8b1962624723aab
SHA256
DLL Claimloader
0bd114fecfd3c09820fa013d8cd8
SHA256
Porte dérobée Toneshell
5d7b9605cf85371da0849b8297
SHA256
Porte dérobée Toneshell
62087a1226c5433d6f6184d627
SHA256
Porte dérobée Toneshell
534853913ad1e9b7ae7dade841
SHA256
Porte dérobée Pubload
2da73366f9efc0d1c05c72e404
SHA256
Porte dérobée Pubload
b04775803e48979b68480a49
SHA256
Porte dérobée Pubshell
b4c37e3995d5ff94754cedd49f
SHA256
Ver USB HIUPAN
f5fd2905d90755d021e1442c34f
SHA256
Ver USB HIUPAN
45[.]136[.]254[.]193:443
Adresse IP, port
Serveur C2 Toneshell
45[.]144[.]165[.]66
Adresse IP, port
Serveur C2 Toneshell
218[.]255[.]96[.]245:443
Adresse IP, port
Serveur Pubload C2
103[.]27[.]202[.]132
Adresse IP, port
Serveur C2 Toneshell
45[.]12[.]91[.]223:443
Adresse IP, port
Serveur Pubload C2
