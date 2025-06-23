Pada Juni 2025, peneliti IBM X-Force menemukan aktor ancaman yang selaras dengan China, Hive0154, menyebarkan malware Pubload yang menampilkan dokumen umpan dan nama file yang enargetkan komunitas Tibet. Sengketa kedaulatan Tibet sering dipanggil oleh kelompok-kelompok ancaman China dalam operasi siber mereka, dengan kampanye terbaru bertepatan dengan kegiatan yang mengarah ke acara besar bagi komunitas Tibet, ulang tahun ke-90 Dalai Lama.
Beberapa umpan yang diamati fitur topik-topik berikut yang terkait dengan komunitas Tibet:
Hive0154 adalah aktor ancaman yang mapan yang selaras dengan China dengan gudang malware yang besar, teknik yang konsisten, dan aktivitas yang terdokumentasi dengan baik selama beberapa tahun terakhir. Kelompok ini terdiri atas beberapa subcluster dan terlibat dalam serangan siber yang menargetkan organisasi publik dan swasta, termasuk think tank, kelompok kebijakan, lembaga pemerintah dan individu. Pengamatan X-Force terhadap penggunaan berbagai custom malware loader, backdoor, dan keluarga USB worm oleh kelompok tersebut menunjukkan kemampuan mereka yang maju. Aktivitas Hive0154 tumpang tindih dengan aktor ancaman yang dilaporkan secara publik sebagai Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, dan Earth Preta.
X-Force sebelumnya memerinci aktivitas ekstensif yang dikaitkan dengan subcluster Hive0154 yang menargetkan AS, Filipina, Pakistan dan Taiwan dalam dugaan kampanye spionase dari akhir 2024 hingga awal 2025. Kelompok ini menggunakan arsip senjata yang berasal dari email phishing tombak untuk menargetkan entitas termasuk pemerintah Filipina, Amerika Serikat dan Pakistan, personel militer dan diplomatik. Email phishing, arsip, dan nama file berbahaya menggunakan referensi ke berbagai topik geopolitik yang disesuaikan dengan audiens spesifik mereka untuk menarik minat yang meningkat dari penerima. Email biasanya menyertakan URL Google Drive yang mengunduh arsip ZIP atau RAR yang dipersenjatai jika penerima mengklik tautan.
Arsip berisi eksekusi jinak yang rentan terhadap sideloading DLL dan DLL Claimloader berbahaya. Executable biasanya diganti namanya untuk mengelabui korban agar membukanya, yang akan segera memicu rantai infeksi. Malware Claimloader menetapkan persistensi, mendekripsi payload Pubload yang tertanam dan menyuntikkannya ke dalam memori. Pubload selanjutnya mengunduh Pubshell, pintu belakang ringan yang memfasilitasi akses langsung ke mesin melalui shell terbalik.
Pada saat kampanye pertama kali dimulai (21 Mei), iming-iming WPCT di bawah ini, kemungkinan besar merujuk pada konvensi mendatang yang diadakan di Tokyo, Jepang, dari tanggal 2 Juni hingga 4 Juni.
Nama umpan
Negara pengirim
DLL Claimloader SHA256
Tanggal
(WPCT)-ICT&CTA_Conference
India
2bd60685299c62ab
21 Mei 2025
Konvensi ini biasanya diadakan di U.S. atau Eropa, dan diselenggarakan di Jepang untuk pertama kalinya. Secara keseluruhan, 142 anggota parlemen dan perwakilan dari 29 negara hadir, termasuk anggota parlemen dari Belgia dan Jepang. Kedutaan Besar Tiongkok di Jepang mengeluarkan kecaman keras atas keterlibatan Pemerintah Pusat Tibet, yang juga dikenal sebagai pemerintah Tibet di pengasingan, dalam konvensi tersebut. Konvensi tersebut menghasilkan Deklarasi Tokyo, mengutuk penindasan pemerintah di wilayah Tibet, dan menyerukan undang-undang internasional untuk melindungi kebebasan budaya dan agama Tibet. Peneliti X-Force menemukan kampanye Hive0154 yang merancang umpan berbeda sebelum dan sesudah konvensi.
Setelah konvensi tersebut, beberapa deklarasi dikeluarkan, termasuk Rencana Aksi Bijak untuk Tibet. Hive0154 kemungkinan menyalinnya dari situs web dan ke dokumen Microsoft Word jinak (DOCX) dalam arsip senjata. Arsip selanjutnya berisi artikel-artikel yang disalin langsung dari beberapa situs Tibet (di sini dan di sini) sehubungan dengan konvensi, serta foto-foto otentik dari konvensi. Kehadiran artikel dan foto yang sah di antara eksekusi senjata yang memiliki nama yang sama kemungkinan akan menipu korban agar secara tidak sengaja membuka salah satu file EXE dan tanpa sadar memicu infeksi.
“Rencana Aksi Wilayah WPCT ke-9 di Tibet.exe”:
" Tibet dalam Fokus saat Anggota Parlemen Global Berkumpul di Tokyo.exe ":
Foto-foto dari konvensi yang digunakan sebagai iming-iming: " Rencana Aksi Wilayah WPCT ke-9 di Tibet (DSC01650.jpg) .exe "
Dalam kampanye lain, X-Force menemukan file bertema Tibet berbahaya tambahan. File-file ini memiliki nama dengan topik yang menarik bagi komunitas Tibet, seperti pendidikan dwibahasa di Tibet atau judul buku yang baru-baru ini diterbitkan oleh Dalai Lama. Memilih topik seperti itu mungkin direkayasa untuk menarik penerima agar reseptif dan mengklik file. Perlu dicatat bahwa sampel terkait Tibet dikirim dari India, tempat pemerintah Tibet di pengasingan saat ini beroperasi, dan ini menunjukkan bahwa penerima file mungkin telah mengirimkannya ke VirusTotal. Dalam kampanye paralel, X-Force menemukan file yang kemungkinan menargetkan Angkatan Laut A.S., berpotensi membahas pertemuan kelompok kerja yang sedang berlangsung antara Angkatan Laut A.S. dan pihak lain.
Nama umpan
Negara pengirim
DLL Claimloader SHA256
Tanggal
Penambangan DRC, Kebijakan Pengembangan Mineral Strategis/17 April Penambangan DRC, Pengembangan Mineral Strategis Policy.exe
Amerika Serikat
c80dfc678570bde7c
17 April 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(diterjemahkan bahasa Tibet: Laporan Reformasi Pendidikan Dwibahwa/Reformasi Pendidikan Bilingual Report.exe)
India
93f1fd31e197a58b03c
26 Mei 2025
Suara untuk foto tanpa suara/Suara untuk yang tidak bersuara photos.exe
India
3e7384c5e7c5764258
28 Mei 2025
(USPACFLT) Kelompok Kerja_
Amerika Serikat
8CD4324E1E764AAFBA
9 Juni 2025
"སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe" (diterjemahkan dalam bahasa Tibet: Laporan Reformasi Pendidikan Bilingual/Laporan Reformasi Pendidikan Bilingual.exe): Topik ini sangat penting bagi masyarakat Tibet dan asimilasi budaya di Tibet telah dicatat oleh Human Rights Watch dalam laporannya.
"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": Ini adalah referensi dari sebuah buku yang diterbitkan oleh pemimpin Tibet di pengasingan, Dalai Lama, pada bulan Maret 2025. Dia menulis tentang dialognya dengan para pemimpin Tiongkok mengenai kemerdekaan Tibet.
“Penambangan DRC, Kebijakan Pengembangan Mineral Strategis/17 April Penambangan DRC, Pengembangan Mineral Strateg is Policy.exe”: File ini mungkin merujuk pada kesepakatan pertambangan Republik Demokratik Kongo (RDK) dengan U.S. dan upaya untuk mendapatkan dukungannya untuk kesepakatan tersebut setelah mengamati Ukraina mencapai kesepakatan serupa dengan U.S. Pada Juni 2025, RDK akan menyelesaikan kesepakatan dengan U.S. dengan imbalan bantuan militer dan diplomatik melawan pemberontak M23 yang didukung oleh negara tetangga, Rwanda.
“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Ini mungkin referensi untuk Armada Pasifik Angkatan Laut AS dan kegiatan penjangkauannya ke negara-negara Pacific Rim. Armada ini menyediakan pasukan angkatan laut untuk Komando Indo-Pasifik AS dan dapat dipanggil jika terjadi konflik di Taiwan.
Claimloader adalah keluarga loader yang telah berkembang secara signifikan selama beberapa tahun terakhir. Mereka berisi payload shellcode terenkripsi, yang didekripsi dan disuntikkan pada waktu proses. Blog kami sebelumnya memberikan detail teknis lebih lanjut tentang varian sebelumnya yang digunakan oleh Hive0154.
Pada eksekusi pertama, Claimloader dimulai dengan membuat objek mutex baru untuk memastikan hanya satu instance Claimloader yang berjalan. Kemudian pindah dirinya sendiri dan EXE prosesnya yang digunakan untuk sideloading DLL ke direktori baru dengan nama baru, seperti:
Selanjutnya, Claimloader menggunakan API SHSetValueA () untuk menetapkan persistensi untuk EXE melalui kunci registri di bawah ini:
Ini akan menyebabkan EXE dieksekusi setiap kali pengguna saat ini masuk ke mesin. Proses ini dijalankan dengan argumen yang telah ditentukan sebelumnya, seperti "Licensing", yang digunakan untuk memanggil fungsionalitas utama Claimloader.
Pada eksekusi Claimloader kedua dengan argumen yang ditentukan, varian Claimloader terbaru mulai mendekripsi payload tertanam melalui algoritma TripleDES. Algoritma ini hanya diamati pada varian Claimloader mulai akhir April 2025. Varian yang diperbarui juga menggunakan nama API yang dienkripsi XOR dan API asli LdrLoadDll ( ) dan LdrGetProcedureAddress () untuk menyelesaikan impor secara dinamis.
Setelah tidur selama lima detik, Claimloader mengalokasikan buffer yang dapat dieksekusi baru di memori dan menyalin payload shellcode ke dalamnya. Malware tidur selama 10 detik lagi dan kemudian memanggilGetDC() dan EnumFontsW(), API yang digunakannya untuk mengeksekusi payload dalam memori dengan meneruskan titik masuknya sebagai fungsi callback.
Payload shellcode Pubload belum mengalami pembaruan apa pun sejak pelaporan terakhir kami. Ini berisi rutinitas dekripsi diri sederhana sebelum menjalankan fungsi utamanya. Pubload adalah backdoor sederhana yang mampu mengunduh payload shellcode terenkripsi, yang disuntikkan ke dalam memori. Salah satu payload pertama adalah modul Pubshell, yang mengimplementasikan shell terbalik untuk memfasilitasi akses langsung ke mesin yang terinfeksi.
Hive0154 tetap menjadi aktor ancaman yang sangat mampu dengan beberapa subcluster aktif dan siklus pengembangan yang sering. X-Force menilai dengan keyakinan tinggi bahwa kelompok-kelompok yang bersekutu dengan China seperti Hive0154 akan terus memperbaiki gudang malware besar mereka dan menargetkan organisasi publik dan swasta di seluruh dunia. Entitas yang berisiko aktivitas Hive0154 harus tetap pada keadaan keamanan defensif yang tinggi dan tetap waspada sehubungan dengan teknik yang disebutkan dalam laporan ini.
Indikator
Jenis Indikator
Konteks
2bd60685299c62abe500fe80e
SHA256
DLL Pemuat Klaim
c80dfc678570bde7c19df21877a1
SHA256
DLL Pemuat Klaim
93f1fd31e197a58b03c6f5f774c138
SHA256
DLL Pemuat Klaim
3e7384c5e7c5764258947721c77
SHA256
DLL Pemuat Klaim
8cd4324e1e764aafba4ea0394a8
SHA256
DLL Pemuat Klaim
7979686bf73c2988ab5d57f9605
SHA256
Arsip bersenjata
ea991719885b2fe91502218ff3be1
SHA256
Arsip bersenjata
6e408aada775eaf19c524792344c
SHA256
Arsip bersenjata
57770ede7015734e2d881430423b
SHA256
Arsip bersenjata
fb33f222b3d4d5edc9b743e6428
SHA256
Arsip bersenjata
218.255.96[.]245:443
IPv4
Server Pubload C2
