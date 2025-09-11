Pada Juli 2025, IBM® X-Force menemukan malware baru yang dikaitkan dengan aktor ancaman Hive0154 yang terkait dengan Tiongkok. Ini termasuk varian Toneshell yang diperbarui yang menghindari deteksi dan mendukung beberapa fitur baru, serta worm USB baru yang disebut SnakeDisk ditemukan pada pertengahan Agustus. Worm ini hanya dieksekusi pada perangkat dengan alamat IP berbasis Thailand dan menjatuhkan backdoor Yokai, yang ditemukan oleh Netskope pada Desember 2024.
Hive0154 adalah aktor ancaman yang mapan yang selaras dengan Tiongkok dengan gudang malware yang besar, teknik yang konsisten, dan aktivitas yang terdokumentasi dengan baik selama beberapa tahun terakhir. Kelompok ini terdiri atas beberapa subklaster dan terlibat dalam serangan siber yang menargetkan organisasi publik dan swasta, termasuk think tank, kelompok kebijakan, lembaga pemerintah, dan individu. Pengamatan X-Force terhadap penggunaan beberapa pemuat malware khusus, backdoor, dan keluarga worm USB oleh grup menunjukkan kemampuan pengembangan lanjutan mereka. Aktivitas Hive0154 tumpang tindih dengan aktor ancaman yang dilaporkan secara publik sebagai Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, dan Earth Preta.
Sepanjang pertengahan 2025, X-Force mengamati beberapa arsip senjata yang diunggah ke VirusTotal dari Singapura dan Thailand:
Nama file
DLL berbahaya
Server C2
Tanggal
Informasi Permintaan Tempat Pertemuan.zip
Loader menyuntikkan shellcode Pubload
188.208.141[.]
21 Mei
Pemesanan Hotel Request.7z
Toneshell8
146.70.29[.]
Juli 03
Cyber_Safety_
Toneshell8
146.70.29[.]
Juli 30
TNLA နှင့် အခြားတော်လှန်ရေးအင်အားစုများ.rar
(diterjemahkan Myanmar: "TNLA dan kekuatan revolusioner lainnya")
Toneshell8
146.70.29[.]
Juli 30
Scan(08-02-205).zip
Toneshell8
146.70.29[.]
Agustus 05
Notes.rar
Loader menyuntikkan shellcode Pubload
188.208.141[.]
Agustus 21
CallNotes.zip
Loader menginjeksikan shellcode Toneshell7
146.70.29[.]
04 September
Hive0154 diamati menggunakan loader baru untuk secara reflektif menyuntikkan Pubload atau Toneshell7, serta secara langsung menerapkan varian Toneshell8 yang lebih kabur. Varian Pubload terbaru telah mengalami perubahan kecil dan sekarang mendukung server umpan C2 dan mengunduh muatan shellcode melalui HTTP POST selain TCP mentah meniru lalu lintas TLS.
Arsip "CallNotes.zip" ditemukan pada bulan September diunduh dari Box Penyimpanan Cloud melalui tautan dalam umpan PDF yang menyamar sebagai Kementerian Luar Negeri Myanmar:
Pada pertengahan Agustus, X-Force juga menemukan SnakeDisk, sebuah USB worm sharing baru yang tumpang tindih dengan varian Tonedisk sebelumnya. Worm hanya dieksekusi pada perangkat yang berlokasi di Thailand sebagaimana ditentukan oleh alamat IP publik mereka. SnakeDisk mendistribusikan backdoor Yokai, yang secara terbuka dikaitkan dengan beberapa kampanye lain yang ditargetkan di Thailand oleh Netskope pada bulan Desember 2024.
Mengingat sejarah backdoor Yokai sebelumnya yang digunakan untuk melawan Thailand, penemuan worm USB terbaru tampaknya bertepatan dengan peristiwa geopolitik baru-baru ini di sekitar Thailand:
Secara tradisional, Republik Rakyat Tiongkok (RRT) telah menjadi penyokong dana bagi Kamboja, memasok senjata dan menginvestasikan miliaran dolar untuk proyek-proyek infrastruktur. Peristiwa geopolitik baru-baru ini mungkin telah memberikan dorongan bagi Hive0154 untuk memulai operasi melawan Thailand. Penerapan worm USB SnakeDisk yang dikonfigurasi untuk hanya dieksekusi pada mesin yang berbasis di Thailand, tampaknya menunjukkan bahwa Hive0154 mungkin berusaha menembus sistem air-gap, yang sering digunakan di jaringan pemerintah.
X-Force pertama kali mengamati Toneshell versi 8 pada Maret 2025. Perilaku ini sangat mirip dengan versi 7 sebelumnya, tetapi berisi pembaruan kecil untuk menghindari deteksi statis dan menghalangi analisis. Perubahan yang paling terlihat adalah dimasukkannya kode sampah dalam fungsi malware. Bagian kode sampah ini menerapkan perilaku berikut:
Ketiga contoh kode ini dapat ditemukan, misalnya, dalam fungsi menyelesaikan semua API:
Pengembang Toneshell8 juga memilih untuk mengganti Pseudo Random Number Generator (PRNG) dengan implementasi Linear Congruential Generator (LCG) khusus menggunakan konstanta yang berbeda, misalnya:
PRNG digunakan di Toneshell untuk menghasilkan ID korban, kunci enkripsi lalu lintas C2, dan Verify keaslian beacon C2. Implementasi dalam sampel Toneshell8 sangat bervariasi dalam kualitas. Generator di atas, misalnya, digunakan oleh 4 sampel yang tercantum di atas dan hanya menghasilkan 11 keadaan berbeda untuk sebagian besar benih.
Terakhir, kode respons hardcode yang dikirim ke server C2, yang memberi tahu operator tentang status perintah tertentu, sekarang dikaburkan dengan menghitungnya dari bilangan bulat hardcode yang berbeda dalam sampel.
Pada bulan Juli, X-Force menemukan varian Toneshell baru, yang akan kita sebut sebagai Toneshell9. Ini berisi pembaruan yang signifikan dan tidak memiliki deteksi pada VirusTotal pada saat penulisan (318a1ebc0692d1d012d20d306d6634b196cc387b1f4bc38f97dd437f117c7e20).
Varian Toneshell baru pertama kali diamati dalam arsip RAR yang ditrojanisasi yang berisi perangkat lunak "USB Safely Remove". Struktur kode tampaknya didasarkan pada varian bercabang dari Desember 2024, yang berisi konfigurasi C2 yang identik.
Mirip dengan varian sebelumnya, Toneshell9 dieksekusi sebagai DLL sideloaded. Arsip RAR yang menjadi alat serangan berisi file BAT, meluncurkan file executable "USBSRService.exe" yang sah dengan argumen baris perintah "-Embedding". Setelah Toneshell DLL "EasyFuncs.dll" dimuat ke dalam memori dan ekspor FS_RegActiveX dijalankan, serangan dimulai dengan menyelesaikan set API pertama yang diperlukan untuk inisialisasi. Setelah mengurai argumen baris perintah "-Embedding", Toneshell meluncurkan file executable induk dalam proses baru dengan argumen "EVTSys". Argumen berikutnya memicu perilaku utama DLL berbahaya.
Toneshell memulai dengan menginisialisasi objek klien baru yang memiliki nilai-nilai berikut:
Kemudian melanjutkan untuk menyelesaikan sisa API yang diperlukan melalui fungsi hashing khusus dan menyimpan pointer fungsi dalam struct terpisah. Selanjutnya, ia membuat acara baru "Windows External Module" yang bertindak sebagai mutex untuk mencegah beberapa instance berjalan pada mesin yang sama.
Toneshell9 dipenuhi dengan beberapa bagian kode sampah, yang mengambil jumlah tick CPU saat ini, menyimpan hasil sebagai string dan mengalokasinya lagi.
Untuk mengelola dan toko komunikasi C2, server proksi, beacon, dan muatan dalam memori, Toneshell membuat instance objek 129KB besar:
Tidak seperti varian sebelumnya, Toneshell9 menyebutkan sarang registri HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER dan HKEY_USERS\\ .DEFAULT untuk mencari server proksi yang dikonfigurasi secara lokal.
Jika server ditemukan, protokol URL (http, https, ftp, atau socks) dan URL lengkap disimpan sebagai string dalam daftar objek.
Selanjutnya, Toneshell menyimpan domain server C2 dan alamat IP dalam vektor string. IP dan port hardcode yang sama langsung disimpan dalam array struktur SOCKADDR_IN. Malware kemudian mengulang string server C2, menyelesaikan alamat IP untuk masing-masing dan menambahkannya ke dalam array struktur SOCKADDR_IN yang sama.
Seperti yang diamati pada varian sebelumnya, Toneshell melanjutkan untuk melepaskan file yang berisi GUID korban 16 byte acak yang dihasilkan melalui fungsi Windows _rand ():
GUID juga disimpan dalam struct bersama dengan path file dan nama NetBIOS korban.
Data di atas digunakan untuk membangun objek beacon dalam memori. Khususnya, Toneshell9 melakukan perhitungan pada perbedaan jumlah tick CPU sebelum dan sesudah perilaku inisialisasi utama yang dirinci di atas. Nilai ini dinormalisasi, dan kemungkinan digunakan untuk deteksi anomali dalam waktu eksekusi yang dapat menunjukkan sandbox yang tertunda atau debugging.
Kunci XOR 0x300 byte dihasilkan melalui _rand () dan digunakan untuk mengenkripsi 101 byte data, mulai dari offset 0x300. Data di atas dikemas ke dalam paket Data Aplikasi TLS 1.2 palsu dengan format berikut:
Selama loop utama Toneshell9 mengeksekusi fungsi untuk membuat koneksi soket ke server C2-nya. Langkah ini dimulai dengan mencoba menghubungkan melalui struktur SOCKADDR_IN pertama. Jika gagal, malware mencoba mengatur koneksi soket melalui salah satu server proxy yang diperoleh dari registri. Cara ini dicoba untuk masing-masing string alamat C2, yaitu alamat IP dan domain untuk sampel yang dianalisis di atas.
Setelah menyelesaikan alamat IP server proxy dan menghubungkan melalui soket TCP, pertama-tama menetapkan batas waktu kirim dan terima menjadi 1 menit. Selanjutnya, ia mengirimkan permintaan koneksi berikut:
Jika server proksi mengembalikan kode status 2xx, koneksi telah berhasil dibuat dan siap untuk tunneling TCP mentah. Untuk memverifikasi koneksi dengan server C2-nya, Toneshell9 menggunakan protokol jabat tangan pendek, juga mentransmisikan IP dan port server dalam prosesnya. Jika jabat tangan berhasil, pegangan ke soket disimpan dalam struct C2_CONNECTION dan batas waktu soket diatur ke 2 menit. Toneshell kemudian mengirimkan beacon iklan pertama melalui soket.
Ia mengharapkan respons serupa kembali dari servernya, yang selain dari 5 byte pertama dienkripsi melalui kunci XOR yang dikirim sebelumnya:
Dengan menggunakan proxy yang sudah dikonfigurasi pada perangkat yang terinfeksi, Toneshell dapat secara efektif berbaur dengan lalu lintas jaringan lainnya. Lingkungan perusahaan yang lebih besar sering menerapkan pemfilteran keluar, hanya memungkinkan lalu lintas melalui gateway tepercaya, yang akan memblokir komunikasi C2 langsung. Kemampuan tambahan Toneshell untuk menghindari penyaringan ini memungkinkannya beroperasi dalam lingkungan jaringan yang aman dengan baik.
Setelah menerima respons C2 pertama, Toneshell memulai thread baru yang mengirimkan suar respons seperti detak jantung setiap 30 detik, dengan kode respons 0x1 dan nilai shell_id acak. Beacon respons memiliki format yang sangat mirip:
Toneshell9 mendukung kode perintah berikut:
Kode
Deskripsi
2
Lewati beacon ini dan tunggu suar berikutnya untuk ditangani.
3
Membuat shell terbalik baru dan tetapkan ke shell_id.
4
Tulis string perintah ke shell terbalik yang diidentifikasi oleh shell_id
5
Menutup shell terbalik yang diidentifikasi oleh shell_id
Mirip dengan varian sebelumnya, shell terbalik disiapkan menggunakan pipa anonim yang terhubung ke stdin dan stdout dari proses cmd.exe yang baru. Toneshell9 mendukung dua shell terbalik aktif secara paralel dan menggunakan struktur di bawah ini untuk mengelola koneksi shell:
Untuk setiap shell terbalik, thread baru dibuat untuk secara teratur memeriksa data baru dari pipa stdout dan mengirimkannya kembali ke server C2 dalam suar dengan kode respons 0x4. Operator toneshell dapat menulis data string ke pipa menggunakan shell_id yang benar dan menjalankan perintah arbitrer pada mesin. Saat menutup shell terbalik, proses conhost.exe yang diidentifikasi oleh parent_pid juga dihentikan pada mesin.
Pada Agustus 2025, X-Force menemukan worm USB yang sebelumnya tidak diketahui yang dikaitkan dengan Hive0154. DLL 32-bit diunggah ke VirusTotal sebagai "01.dat" dari Thailand dan menampilkan fitur serupa dengan Toneshell9. Keduanya dijalankan melalui sideloading DLL, dengan semua ekspor kecuali untuk DllEntryPoint dan titik masuk malware menunjuk ke fungsi yang sama, yang segera kembali. Mereka juga memiliki fitur mekanisme resolusi API yang hampir identik, yang konsisten dengan hampir semua malware terkait Toneshell. Mirip dengan contoh Toneshell9, SnakeDisk juga membaca argumen baris perintah untuk memilih salah satu dari dua jalur eksekusi yang mungkin:
Untuk menjalankan fungsionalitas infeksi USB, SnakeDisk memerlukan file konfigurasi, yang dicari di direktori induk yang dapat dieksekusi saat ini. Setiap file yang ditemukan di direktori itu, kecuali diberi nama "System Volume Information", akan ditambahkan ke daftar file konfigurasi potensial. Tonedisk melanjutkan untuk membuka dan membaca setiap file, menguji kondisi berikut untuk memverifikasi file sebelum melanjutkan dengan dekripsi.
SnakeDisk melanjutkan dengan mendekripsi data menggunakan kemungkinan algoritma XOR 2-fase khusus dan kunci 320-byte yang disimpan dalam header 330-byte.
Akhirnya, malware mengurai 18 nilai string yang menentukan konfigurasi malware. X-Force tidak dapat memulihkan file konfigurasi; Namun, analisis SnakeDisk mengungkapkan kemungkinan tujuan berikut dari nilai-nilai tersebut.
Bidang konfigurasi
Tujuan
versi
Versi malware digunakan untuk menentukan apakah klien yang sudah terinfeksi harus terinfeksi ulang dengan varian yang diperbarui.
mutx
String Mutex.
psd
Tidak digunakan dalam sampel yang dianalisis. Mungkin lokal setara dengan "usd" - semua nilai "u*" adalah nama file/direktori pada USB setelah persenjataan.
urd
Mungkin "direktori root USB". Nama direktori dibuat pada USB yang berisi subdirektori.
uud
Mungkin "direktori pengguna USB". Nama direktori di bawah <urd> yang berisi file asli pengguna dari USB.
usd
Kemungkinan "USB staging directory". Nama direktori di <urd> yang menyimpan berbagai komponen berbahaya dari SnakeDisk.
pnex
Mungkin "nama induk yang dapat dieksekusi". Nama file yang ada di direktori SnakeDisk saat ini selama eksekusi.
pndl
Mungkin "nama induk DLL". Nama file yang ada di direktori SnakeDisk saat ini selama eksekusi.
pnen
Mungkin "nama induk dienkripsi". Nama file yang ada di direktori SnakeDisk saat ini selama eksekusi.
pnendl
Kemungkinan "parent name encrypted DLL". Nama file yang ada di direktori SnakeDisk saat ini selama eksekusi.
unex
Mungkin "nama USB yang dapat dieksekusi". Nama file yang disalin dari <pnex> ke USB.
undl
Mungkin "nama USB DLL". Nama file yang disalin dari <pndl> ke USB.
unen
Kemungkinan "USB name encrypted". Nama file yang disalin dari <pnen> ke USB.
unendl
Mungkin "nama USB terenkripsi DLL". Nama file yang disalin dari <pnendl> ke USB.
unendl_org
Nama file (kemungkinan DLL) disalin dari <pnendl> ke direktori root USB dan disembunyikan melalui atribut file.
unconf
Nama file konfigurasi SnakeDisk dimasukkan ke USB.
regkey
Berpotensi terkait dengan mekanisme persistensi registri. Tidak digunakan dalam sampel yang dianalisis.
schkey
Berpotensi terkait dengan mekanisme persistensi tugas yang dijadwalkan. Tidak digunakan dalam sampel yang dianalisis.
Setelah berhasil membaca file konfigurasinya, SnakeDisk akan mencoba mengonfirmasi bahwa saat ini sedang dieksekusi pada mesin yang berbasis di Thailand. Proses ini mengirimkan permintaan HTTP GET ke http://ipinfo[.]io/json dan periksa apakah bidang "negara" cocok dengan "THA" atau "TH". Jika itu benar, eksekusi lanjutkan.
Khususnya, eksekusi juga akan dilanjutkan jika terjadi kesalahan saat menyelesaikan API atau selama komunikasi jaringan.
SnakeDisk kemudian memastikannya hanya berjalan dalam satu instance dengan mencoba membuka mutex "Global\\<mutx config value>". Jika mutex sudah ada, malware keluar; jika tidak, malware membuat mutex melalui CreateMutexW.
Untuk menginfeksi drive USB yang sudah terhubung, SnakeDisk mulai mengulang semua kemungkinan huruf drive dari A-Z. Tindakan ini membuka handle ke volume fisik, seperti "\\. \ A: " dan mengirimkan kode kontrol IOCTL_STORAGE_GET_HOTPLUG_INFO (0x2D0C14) ke perangkat. Jika perangkat adalah perangkat hotplug sesuai dengan struct STORAGE_HOTPLUG_INFO yang ditampilkan, perangkat meluncurkan utas baru untuk menginfeksi drive itu.
Setelah melalui semua huruf drive, SnakeDisk tidur selama 5 detik dan kemudian mendaftarkan kelas jendela baru "TestClassName" dan membuat jendela yang sesuai "TestWinDownName". Untuk mengambil pesan dari sistem operasi, fungsi membuat loop Pesan Windows menggunakan GetMessageW dan mengirimkan pesan ke prosedur jendela malware melalui TranslateMessage dan DispatchMessageW. Pesan ini hanya keluar dari loop saat menerima pesan WM_CAP_PAL_OPEN (0x450). Kelas jendela berbahaya mereferensikan prosedur khusus yang mendengarkan pesan WM_DEVICECHANGE (0x219), dan khususnya peristiwa DBT_DEVICEARRIVAL (0x8000) dan DBT_DEVICEREMOVECOMPLETE (0x8004).
Jika pesan seperti itu diterima, misalnya, ketika perangkat USB dicolokkan ke mesin yang terinfeksi, fungsi menggunakan bidang "dbcv_unitmask" dari struktur DEV_BROADCAST_VOLUME untuk menentukan huruf drive perangkat yang sesuai. Untuk perangkat yang baru terhubung, utas baru diluncurkan untuk menginfeksi drive. Jika SnakeDisk mendeteksi penghapusan perangkat, ia memulai utas untuk melepaskan dan mengeksekusi muatan yang disematkannya, yang memulai jalur eksekusi yang sama yang disebabkan oleh eksekusi DLL SnakeDisk dengan argumen baris perintah "-hope".
Utas untuk menginfeksi perangkat USB yang terdeteksi dimulai dengan mencari file konfigurasi yang ada di dalam drive untuk menentukan apakah drive tersebut sudah terinfeksi. Utas ini mencoba untuk mendekripsi dan mengurai konfigurasi dari file apa pun dengan ekstensi .dat atau .cd . Jika konfigurasi diurai, malware membandingkan nomor versi drive yang sudah terinfeksi dengan versi konfigurasinya sendiri dan hanya akan menginfeksi ulang drive dengan versi SnakeDisk yang lebih lama di dalamnya.
SnakeDisk kemudian meluncurkan thread lain untuk memindahkan file yang ada di USB ke subdirektori baru. Dengan menyembunyikan file yang diharapkan pengguna di USB mereka, malware meningkatkan kemungkinan korban percaya bahwa USB belum dibuka dan secara tidak sengaja mengklik eksekusi yang dipersenjatai pada mesin baru dengan nama yang sama dengan perangkat. Setelah eksekusi, peluncur berbahaya akan menyalin kembali file pengguna untuk menghindari kecurigaan. Jalur yang berisi data pengguna pada perangkat yang terinfeksi dibangun dari nilai konfigurasi sebagai:
Malware dapat menggunakan dua mekanisme yang berbeda untuk operasi; masing-masing diluncurkan di utasnya masing-masing. Yang pertama menggunakan SHFIleOperationW untuk memindahkan setiap file, dan selama setiap operasi, juga membaca 32 byte dari file "C:\\Windows\\Tmp\\msd.log", yang ditulis ke file "C:\\ProgramData\\aplikasi.log" sebelum menghapus yang terakhir. Tujuan dari perilaku ini tidak jelas.
Saat thread berjalan, malware secara teratur memeriksa apakah penyelesaian berhasil selama 30 detik sebelum meluncurkan thread kedua. Thread kedua menggunakan robocopy untuk memindahkan file dan menjalankan perintah berikut dalam proses baru:
Kedua gerakan file mengecualikan file senjata SnakeDisk dan file "System Volume Information", yang harus tetap berada di direktori root disk USB. Setelah menjalankan perintah di atas, perintah yang sama diluncurkan lagi dengan dua flag tambahan "/IS" dan "/XO", untuk menyertakan file yang sama, dan mengecualikan file direktori sumber yang lebih tua dari tujuan.
Setelah memindahkan file yang sudah ada di USB, SnakeDisk melanjutkan untuk menyalin muatannya sendiri dari direktori saat ini ke drive USB. File-file berikut, seperti yang ditentukan dalam konfigurasi, disalin melalui CopyFileW, masing-masing dalam utas baru:
Nama file EXE di root drive USB diatur ke nama volume perangkat USB, atau hanya "USB.exe" jika kosong. SnakeDisk juga menetapkan atribut SYSTEM dan HIDDEN pada file yang disalin ke "<drive_letter>:\<unendl_org>". Semua direktori pada USB membawa atribut tersebut juga, secara efektif menyembunyikan segala sesuatu selain file executable. Meskipun X-Force tidak mengambil file lain, worm USB sebelumnya menggunakan teknik yang sama untuk mengelabui korban agar mengklik file executable, yang akan memuat DLL untuk memulai infeksi. Nama file DLL berbahaya itu kemungkinan disimpan dalam nilai konfigurasi "unendl_org". Terakhir, SnakeDisk menulis konfigurasinya ke file baru di USB dengan nama dari nilai "unconf".
Utas SnakeDisk yang bertanggung jawab untuk menjatuhkan dan mengeksekusi muatan tertanam diluncurkan ketika penghapusan perangkat USB terdeteksi, atau pada awal eksekusi SnakeDisk melalui argumen baris perintah "-hope ".
Pertama, thread membaca file penanda " vm.ini " di direktorinya dan membandingkan konten dengan jalurnya sendiri saat ini. File ini juga ditulis setelah berhasil menurunkan dan mengeksekusi muatan dan menunjukkan apakah korban telah terinfeksi dengan muatan yang tertanam SnakeDisk. Jika jalurnya cocok, tidak ada muatan yang akan dijatuhkan dan utas akan diakhiri.
Setelah pemeriksaan pertama, SnakeDisk mulai menurunkan serangkaian muatan ke direktori "C:\Users\Public\". Setiap file dibangun dalam memori dari nilai langsung dalam fungsi besar antara 0,6 dan 3,3 MB.
Muatan kemudian didekripsi melalui operasi XOR sederhana sebelum dijatuhkan sebagai file ke:
File-file ini digabungkan bersama dalam kelompok tiga untuk menghasilkan dua muatan akhir melalui perintah berikut:
Nama file EXE dibuat dari 10 huruf besar acak dan angka. Setelah penggabungan, file dihapus.
Terakhir, file yang dapat dieksekusi diluncurkan dalam proses baru dengan argumen baris perintah yang dikodekan:
Sesuai perkiraan, EXE (bb5bb82e5caf7d4dbbe878b75b23f793a5f3c5ca6dba70d8be447e8c004d26ce) adalah file executable yang sah dan ditandatangani (acwebbrowser.exe) yang melakukan sideload libcef.dll berbahaya selama eksekusi.
Muatan DLL diidentifikasi sebagai pintu belakang Yokai, dilaporkan pada Desember 2024 oleh Netskope. Setelah eksekusi, malware pertama-tama memeriksa argumen "-project-mod" dan kemudian menetapkan persistensi melalui tugas terjadwal jika pengguna bukan anggota grup Administrator:
Ini melanjutkan untuk membuat mutex baru "k1tpddvivh74fo1et725okr1c1" dan menginisialisasi struktur konfigurasi internal. Varian yang dijatuhkan oleh SnakeDisk berisi string versi "1.0.0" dan menjangkau server C2 hardcode melalui permintaan HTTP POST:
Seperti yang dijelaskan dalam analisis Netskope, Yokai digunakan untuk membuat shell terbalik melalui pipa anonim, memungkinkan operator untuk menjalankan perintah sewenang-wenang pada mesin yang terinfeksi.
Menariknya, Yokai menunjukkan tumpang tindih dengan keluarga backdoor lain yang dikaitkan dengan Hive0154, seperti Pubload/Pubshell dan Toneshell. Meskipun keluarga tersebut jelas merupakan bagian malware yang terpisah, mereka secara kasar mengikuti struktur yang sama dan menggunakan teknik serupa untuk membangun shell terbalik dengan server C2 mereka.
Analisis X-Force juga mengungkapkan tumpang tindih yang kuat antara SnakeDisk dan Tonedisk. Selama bertahun-tahun, ada beberapa keluarga worm USB yang terkait dengan Hive0154. Varian yang sangat terkait dengan keluarga Toneshell dalam implementasinya dilacak oleh X-Force sebagai Tonedisk. Sejauh ini, ada 3 versi Tonedisk utama (A, B, dan C) yang diidentifikasi. Masing-masing versi Tonedisk adalah rangkaian komponen berbahaya yang berbeda yang membentuk fungsionalitas penuh cacing USB. Komponen-komponen ini termasuk peluncur, pemuat, penyebar, file terenkripsi, installer dan pintu belakang.
SnakeDisk tumpang tindih secara khusus dengan varian ToneDisk A, yang juga dilaporkan pada pertengahan 2023 oleh Checkpoint sebagai WispRider. Mekanisme propagasi USB malware, hashing API dan file konfigurasi menampilkan beberapa kesamaan, yang selaras dengan kecenderungan subcluster Hive0154 yang diketahui untuk berbagi dan menggunakan kembali malware di antara mereka sendiri.
X-Force melacak aktivitas dalam laporan ini di bawah klaster payung Hive0154, yang sebagian tumpang tindih dengan aktivitas yang diterbitkan sebagai Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, Temp.hex, dan Earth Preta. Kelompok ini tampaknya mempertahankan ekosistem malware yang cukup besar dengan sering tumpang tindih baik dalam kode berbahaya, teknik yang digunakan selama serangan, serta penargetan. Dalam klaster payung yang lebih besar, X-Force memisahkan setidaknya tiga subklaster aktivitas dengan kepercayaan rendah, dengan setiap klaster terkait dengan salah satu strain malware pusat PlugX, Toneshell, dan Pubload. Khususnya, setiap strain malware dipasangkan dengan kerangka kerja worm USB yang berbeda dan satu atau lebih varian malware loader terkait, yang lebih sering berubah. Loader yang sama dapat digunakan untuk muatan yang berbeda, seperti Toneshell atau Pubload, dalam jangka waktu yang sama. Namun, penting untuk dicatat bahwa pengelompokan aktivitas tidak secara otomatis menandakan bahwa mereka beroperasi sebagai subkelompok terpisah.
Aktivitas yang terkait dengan penggunaan SnakeDisk dan backdoor Yokai mungkin menunjukkan subcluster lebih lanjut dari Hive0154. Saat ini tampaknya terutama ditargetkan ke Thailand, seperti yang terbukti dari pemeriksaan geolokasi IP dalam SnakeDisk dan pelaporan Netskope.
Hive0154 tetap menjadi aktor ancaman yang sangat mampu dengan beberapa subklaster aktif dan siklus pengembangan yang sering. X-Force menilai dengan keyakinan tinggi bahwa kelompok-kelompok yang bersekutu dengan Tiongkok seperti Hive0154 akan terus memperbaiki gudang malware besar mereka dan menargetkan organisasi publik dan swasta di seluruh dunia. Malware yang dibahas dalam laporan di atas kemungkinan masih dalam pengembangan awal, memungkinkan pembela untuk mengadopsi mekanisme deteksi sebelum digunakan secara luas. Entitas yang berisiko spionase Hive0154 harus tetap pada keadaan keamanan defensif yang tinggi dan tetap waspada sehubungan dengan teknik yang disebutkan dalam laporan ini dan melakukan ulasan terhadap rekomendasi berikut:
Indikator
Jenis Indikator
Konteks
f8b28cae687bd55a148d363d58f1
SHA256
Arsip yang menjadi alat serangan memberikan Toneshell8
8132beeb25ce7baed0b561922d26
SHA256
Arsip yang menjadi alat serangan memberikan Toneshell8
d1466dca25e28f0b7fae71d5c2abc0
SHA256
Arsip yang menjadi alat serangan memberikan Toneshell8
1272a0853651069ed4dc505007e85
SHA256
Arsip yang menjadi alat serangan memberikan Toneshell8
b8c31b8d8af9e6eae15f30019e39c
SHA256
Arsip yang dipersenjatai yang memberikan Toneshell7
7087e84f69c47910fd39c3869a70
SHA256
Arsip yang menjadi alat serangan mengirimkan Pubload
38fcd10100f1bfd75f8dc0883b0c
SHA256
Arsip yang menjadi alat serangan mengirimkan Pubload
69cb87b2d8ee50f46dae791b5a0
SHA256
PDF berisi URL unduhan untuk arsip yang menjadi alat serangan
564a03763879aaed4da8a8c1d60
SHA256
Loader menginjeksikan Toneshell7
e4bb60d899699fd84126f9fa0df
SHA256
Loader menyuntikkan Pubload
c2d1ff85e9bb8feb14fd015dceee1
SHA256
Loader menyuntikkan Pubload
188.208.141[.]196
IPv4
Server Pubload C2
bdbc936ddc9234385317c4ee83
SHA256
Backdoor Toneshell8
f0fec3b271b83e23ed7965198f3b
SHA256
Backdoor Toneshell8
e7b29611c789a6225aebbc9fee37
SHA256
Backdoor Toneshell8
9ca5b2cbc3677a5967c448d9d21
SHA256
Backdoor Toneshell8
146.70.29[.]229
IPv4
Server Toneshell7/Toneshell8 C2
318a1ebc0692d1d012d20d306
SHA256
Toneshell9 backdoor
0d632a8f6dd69566ad98db56
SHA256
Arsip yang dipersenjatai yang memberikan Toneshell9
39e7bbcceddd16f6c4f2fc2335a
SHA256
Arsip yang dipersenjatai yang memberikan Toneshell9
05eb6a06b404b6340960d7a6
SHA256
Loader berisi garpu Toneshell yang berfungsi sebagai dasar untuk Toneshell9
123.253.34[.]44
IPv4
Server Toneshell9 C2
www.slickvpn[.]com
Domain
Server Toneshell9 C2
dd694aaf44731da313e4594d
SHA256
Worm USB SnakeDisk
bb5bb82e5caf7d4dbbe878b7
SHA256
Muatan EXE jinak SnakeDisk digunakan untuk sideloading DLL Yokai
35bec1d8699d29c27b66e564
SHA256
DLL pintu belakang Yokai
http://118.174.183[.]89/kptinfo
URL
Server Yokai C2
