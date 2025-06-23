Tag
Hive0154 alias Mustang Panda mengalihkan fokus pada komunitas Tibet untuk menerapkan pintu belakang Pubload

Ringkasan

Pada Juni 2025, peneliti IBM X-Force menemukan aktor ancaman yang selaras dengan China, Hive0154, menyebarkan malware Pubload yang menampilkan dokumen umpan dan nama file yang enargetkan komunitas Tibet. Sengketa kedaulatan Tibet sering dipanggil oleh kelompok-kelompok ancaman China dalam operasi siber mereka, dengan kampanye terbaru bertepatan dengan kegiatan yang mengarah ke acara besar bagi komunitas Tibet, ulang tahun ke-90 Dalai Lama.

Beberapa umpan yang diamati fitur topik-topik berikut yang terkait dengan komunitas Tibet:

  • Konvensi Parlemen Dunia tentang Tibet (WPCT) ke-9diselenggarakan pada tanggal 06/02 - 06/04 di Tokyo, Jepang.
  • Kebijakan pendidikan Tiongkok di Daerah Otonomi Tibet (TAR). Topik ini sangat penting bagi masyarakat Tibet, dan asimilasi budaya di Tibet telah dicatat oleh Human Rights Watch dalam laporannya
  •  Buku Voice for the Voiceless, yang ditulis oleh pemimpin Tibet di pengasingan, Dalai Lama. Buku ini membahas dialog Dalai Lama dengan para pemimpin Tiongkok mengenai kemerdekaan Tibet.

Temuan utama

  • Aktor ancaman yang bersekutu dengan China Hive0154 telah menyebarkan banyak umpan phishing dalam kampanye yang ditargetkan sepanjang tahun 2025 untuk menyebarkan pintu belakang Pubload
  • Hive0154 merancang nama file yang merujuk berbagai topik geopolitik yang disesuaikan untuk menarik minat yang meningkat dari penerima yang ditargetkan
  • Pada Mei 2025, X-Force melihat peningkatan fokus pada topik yang disesuaikan untuk menargetkan komunitas Tibet
  • Kampanye phishing mengacu pada Konvensi Anggota Parlemen Dunia ke-9 tentang Tibet (WPCT) yang diadakan di Tokyo pada bulan Juni, kebijakan pendidikan Tiongkok di Daerah Otonomi Tibet (TAR) dan buku 2025 Voice for the Voiceless oleh Dalai Lama
Gambaran umum Hive0154

Hive0154 adalah aktor ancaman yang mapan yang selaras dengan China dengan gudang malware yang besar, teknik yang konsisten, dan aktivitas yang terdokumentasi dengan baik selama beberapa tahun terakhir. Kelompok ini terdiri atas beberapa subcluster dan terlibat dalam serangan siber yang menargetkan organisasi publik dan swasta, termasuk think tank, kelompok kebijakan, lembaga pemerintah dan individu. Pengamatan X-Force terhadap penggunaan berbagai custom malware loader, backdoor, dan keluarga USB worm oleh kelompok tersebut menunjukkan kemampuan mereka yang maju. Aktivitas Hive0154 tumpang tindih dengan aktor ancaman yang dilaporkan secara publik sebagai Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, dan Earth Preta.

Aktivitas sebelumnya

X-Force sebelumnya memerinci aktivitas ekstensif yang dikaitkan dengan subcluster Hive0154 yang menargetkan AS, Filipina, Pakistan dan Taiwan dalam dugaan kampanye spionase dari akhir 2024 hingga awal 2025. Kelompok ini menggunakan arsip senjata yang berasal dari email phishing tombak untuk menargetkan entitas termasuk pemerintah Filipina, Amerika Serikat dan Pakistan, personel militer dan diplomatik. Email phishing, arsip, dan nama file berbahaya menggunakan referensi ke berbagai topik geopolitik yang disesuaikan dengan audiens spesifik mereka untuk menarik minat yang meningkat dari penerima. Email biasanya menyertakan URL Google Drive yang mengunduh arsip ZIP atau RAR yang dipersenjatai jika penerima mengklik tautan.

Contoh email phishing Hive0154 dari kampanye pada bulan April 2025.
Gambar 1: Contoh email phishing Hive0154 dari kampanye pada bulan April 2025.

Arsip berisi eksekusi jinak yang rentan terhadap sideloading DLL dan DLL Claimloader berbahaya. Executable biasanya diganti namanya untuk mengelabui korban agar membukanya, yang akan segera memicu rantai infeksi. Malware Claimloader menetapkan persistensi, mendekripsi payload Pubload yang tertanam dan menyuntikkannya ke dalam memori. Pubload selanjutnya mengunduh Pubshell, pintu belakang ringan yang memfasilitasi akses langsung ke mesin melalui shell terbalik. 

Diagram rantai infeksi Pubload
Gbr. 2: Rantai infeksi Pubload

Konvensi Anggota Parlemen Dunia ke-9 tentang Tibet (WPCT)

Pada saat kampanye pertama kali dimulai (21 Mei), iming-iming WPCT di bawah ini, kemungkinan besar merujuk pada konvensi mendatang yang diadakan di Tokyo, Jepang, dari tanggal 2 Juni hingga 4 Juni.

Nama umpan

 Negara pengirim

 DLL Claimloader SHA256

 Tanggal

(WPCT)-ICT&CTA_Conference
/(Anggota_Parlemen_Dunia
Konvensi_on
Tibet (WPTC) di
Jepang_tokyo).Juni 2025.exe

 India

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21 Mei 2025

 Konvensi ini biasanya diadakan di U.S. atau Eropa, dan diselenggarakan di Jepang untuk pertama kalinya. Secara keseluruhan, 142 anggota parlemen dan perwakilan dari 29 negara hadir, termasuk anggota parlemen dari Belgia dan Jepang. Kedutaan Besar Tiongkok di Jepang mengeluarkan kecaman keras atas keterlibatan Pemerintah Pusat Tibet, yang juga dikenal sebagai pemerintah Tibet di pengasingan, dalam konvensi tersebut. Konvensi tersebut menghasilkan Deklarasi Tokyo, mengutuk penindasan pemerintah di wilayah Tibet, dan menyerukan undang-undang internasional untuk melindungi kebebasan budaya dan agama Tibet. Peneliti X-Force menemukan kampanye Hive0154 yang merancang umpan berbeda sebelum dan sesudah konvensi.

Setelah konvensi tersebut, beberapa deklarasi dikeluarkan, termasuk Rencana Aksi Bijak untuk Tibet. Hive0154 kemungkinan menyalinnya dari situs web dan ke dokumen Microsoft Word jinak (DOCX) dalam arsip senjata. Arsip selanjutnya berisi artikel-artikel yang disalin langsung dari beberapa situs Tibet (di sini dan di sini) sehubungan dengan konvensi, serta foto-foto otentik dari konvensi. Kehadiran artikel dan foto yang sah di antara eksekusi senjata yang memiliki nama yang sama kemungkinan akan menipu korban agar secara tidak sengaja membuka salah satu file EXE dan tanpa sadar memicu infeksi.

“Rencana Aksi Wilayah WPCT ke-9 di Tibet.exe”: 

Tangkapan layar DOCX jinak dikemas ke dalam arsip senjata bersama dengan EXE yang berbagi nama file yang sama
Gbr. 3: Tangkapan layar DOCX jinak yang dikemas ke dalam arsip senjata bersama dengan EXE yang berbagi nama file yang sama

" Tibet dalam Fokus saat Anggota Parlemen Global Berkumpul di Tokyo.exe ":

Tangkapan layar DOCX jinak dikemas ke dalam arsip senjata bersama dengan EXE yang berbagi nama file yang sama
Gambar 4: Tangkapan layar DOCX jinak yang dikemas ke dalam arsip bersenjata bersama dengan EXE yang berbagi nama file yang sama (Sumber: Tibet.net)

Foto-foto dari konvensi yang digunakan sebagai iming-iming: " Rencana Aksi Wilayah WPCT ke-9 di Tibet (DSC01650.jpg) .exe "

Para pemimpin Tibet duduk di podium panjang dengan mikrofon di depan wartawan & warga Gambar 5: Gambar JPG dikemas ke dalam arsip senjata (Sumber: Tibet.net)
foto individu Tibet & pemimpin dunia lainnya di konferensi Tibet dalam kolase
Gambar 6: Gambar dari konvensi dikemas ke dalam arsip senjata bersama dengan EXE dan DLL berbahaya (Sumber: Tibet.net)

Kegiatan lebih lanjut yang menargetkan komunitas Tibet dan U.S.

Dalam kampanye lain, X-Force menemukan file bertema Tibet berbahaya tambahan. File-file ini memiliki nama dengan topik yang menarik bagi komunitas Tibet, seperti pendidikan dwibahasa di Tibet atau judul buku yang baru-baru ini diterbitkan oleh Dalai Lama. Memilih topik seperti itu mungkin direkayasa untuk menarik penerima agar reseptif dan mengklik file. Perlu dicatat bahwa sampel terkait Tibet dikirim dari India, tempat pemerintah Tibet di pengasingan saat ini beroperasi, dan ini menunjukkan bahwa penerima file mungkin telah mengirimkannya ke VirusTotal. Dalam kampanye paralel, X-Force menemukan file yang kemungkinan menargetkan Angkatan Laut A.S., berpotensi membahas pertemuan kelompok kerja yang sedang berlangsung antara Angkatan Laut A.S. dan pihak lain.

Nama umpan

Negara pengirim

DLL Claimloader SHA256

Tanggal

Penambangan DRC, Kebijakan Pengembangan Mineral Strategis/17 April Penambangan DRC, Pengembangan Mineral Strategis Policy.exe

Amerika Serikat

c80dfc678570bde7c
19df21877a15cc7914d
3EF7A3CEF5F99FCE26FCF
696c444

 17 April 2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(diterjemahkan bahasa Tibet: Laporan Reformasi Pendidikan Dwibahwa/Reformasi Pendidikan Bilingual Report.exe)

India

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
A32831637

 26   Mei   2025

Suara untuk foto tanpa suara/Suara untuk yang tidak bersuara photos.exe

India

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28 Mei 2025

(USPACFLT) Kelompok Kerja_
Pertemuan/DF untuk Laporan Setelah Kegiatan tentang pelaksanaan Pertemuan Kelompok Kerja (WGM) Armada Pasifik Amerika Serikat (USPACFLT) ke-4 (WGM) .exe

Amerika Serikat

8CD4324E1E764AAFBA
4EA0394A82943CEFD7
deeee28a6cbd19f2ba6
9de6a5766

 9 Juni 2025

"སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe" (diterjemahkan dalam bahasa Tibet: Laporan Reformasi Pendidikan Bilingual/Laporan Reformasi Pendidikan Bilingual.exe): Topik ini sangat penting bagi masyarakat Tibet dan asimilasi budaya di Tibet telah dicatat oleh Human Rights Watch dalam laporannya.

"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": Ini adalah referensi dari sebuah buku yang diterbitkan oleh pemimpin Tibet di pengasingan, Dalai Lama, pada bulan Maret 2025. Dia menulis tentang dialognya dengan para pemimpin Tiongkok mengenai kemerdekaan Tibet.

“Penambangan DRC, Kebijakan Pengembangan Mineral Strategis/17 April Penambangan DRC, Pengembangan Mineral Strateg is Policy.exe”: File ini mungkin merujuk pada kesepakatan pertambangan Republik Demokratik Kongo (RDK) dengan U.S. dan upaya untuk mendapatkan dukungannya untuk kesepakatan tersebut setelah mengamati Ukraina mencapai kesepakatan serupa dengan U.S. Pada Juni 2025, RDK akan menyelesaikan kesepakatan dengan U.S. dengan imbalan bantuan militer dan diplomatik melawan pemberontak M23 yang didukung oleh negara tetangga, Rwanda.

“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Ini mungkin referensi untuk Armada Pasifik Angkatan Laut AS dan kegiatan penjangkauannya ke negara-negara Pacific Rim. Armada ini menyediakan pasukan angkatan laut untuk Komando Indo-Pasifik AS dan dapat dipanggil jika terjadi konflik di Taiwan.

Detail teknis: Pembaruan Claimloader

Claimloader adalah keluarga loader yang telah berkembang secara signifikan selama beberapa tahun terakhir. Mereka berisi payload shellcode terenkripsi, yang didekripsi dan disuntikkan pada waktu proses. Blog kami sebelumnya memberikan detail teknis lebih lanjut tentang varian sebelumnya yang digunakan oleh Hive0154.

Pada eksekusi pertama, Claimloader dimulai dengan membuat objek mutex baru untuk memastikan hanya satu instance Claimloader yang berjalan. Kemudian pindah dirinya sendiri dan EXE prosesnya yang digunakan untuk sideloading DLL ke direktori baru dengan nama baru, seperti:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Selanjutnya, Claimloader menggunakan API SHSetValueA () untuk menetapkan persistensi untuk EXE melalui kunci registri di bawah ini:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ini akan menyebabkan EXE dieksekusi setiap kali pengguna saat ini masuk ke mesin. Proses ini dijalankan dengan argumen yang telah ditentukan sebelumnya, seperti "Licensing", yang digunakan untuk memanggil fungsionalitas utama Claimloader.

Pada eksekusi Claimloader kedua dengan argumen yang ditentukan, varian Claimloader terbaru mulai mendekripsi payload tertanam melalui algoritma TripleDES. Algoritma ini hanya diamati pada varian Claimloader mulai akhir April 2025. Varian yang diperbarui juga menggunakan nama API yang dienkripsi XOR dan API asli LdrLoadDll ( ) dan LdrGetProcedureAddress () untuk menyelesaikan impor secara dinamis.

Setelah tidur selama lima detik, Claimloader mengalokasikan buffer yang dapat dieksekusi baru di memori dan menyalin payload shellcode ke dalamnya. Malware tidur selama 10 detik lagi dan kemudian memanggilGetDC() dan EnumFontsW(), API yang digunakannya untuk mengeksekusi payload dalam memori dengan meneruskan titik masuknya sebagai fungsi callback.

Pintu belakang pubload

Payload shellcode Pubload belum mengalami pembaruan apa pun sejak pelaporan terakhir kami. Ini berisi rutinitas dekripsi diri sederhana sebelum menjalankan fungsi utamanya. Pubload adalah backdoor sederhana yang mampu mengunduh payload shellcode terenkripsi, yang disuntikkan ke dalam memori. Salah satu payload pertama adalah modul Pubshell, yang mengimplementasikan shell terbalik untuk memfasilitasi akses langsung ke mesin yang terinfeksi.

Kesimpulan

Hive0154 tetap menjadi aktor ancaman yang sangat mampu dengan beberapa subcluster aktif dan siklus pengembangan yang sering. X-Force menilai dengan keyakinan tinggi bahwa kelompok-kelompok yang bersekutu dengan China seperti Hive0154 akan terus memperbaiki gudang malware besar mereka dan menargetkan organisasi publik dan swasta di seluruh dunia. Entitas yang berisiko aktivitas Hive0154 harus tetap pada keadaan keamanan defensif yang tinggi dan tetap waspada sehubungan dengan teknik yang disebutkan dalam laporan ini.

Rekomendasi

  • Berhati-hatilah dengan email yang berisi tautan unduhan Google Drive
  • Berhati-hatilah dengan arsip yang diunduh, meskipun berisi dokumen yang diharapkan. Melatih staf untuk menampilkan dan mengenali ekstensi file yang tidak terduga.
  • Memantau dan mencari paket Data Aplikasi TLS 1.2 di jaringan (header: 17 03 03) tanpa jabat tangan TLS sebelumnya sebagai tanda beacon Pubload atau Toneshell
  • Memantau dan mencari drive USB yang berisi nama eksekusi yang mencurigakan, DLL, dan direktori tersembunyi yang dapat menunjukkan perangkat yang terinfeksi cacing USB
  • Pantau dan cari direktori yang mencurigakan dan tidak dikenal di C:\ProgramData\ * yang berisi EXE sah yang rentan terhadap sideloading DLL dan DLL yang sesuai
  • Memantau dan mencari teknik persistensi dalam registri dan tugas yang dijadwalkan
  • Pantau aktivitas jaringan, persistensi, atau modifikasi file yang tidak biasa yang berasal dari eksekusi proses yang tampaknya jinak yang memuat DLL berbahaya

Indikator kompromi

Indikator

Jenis Indikator

Konteks

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

DLL Pemuat Klaim

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

DLL Pemuat Klaim

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

DLL Pemuat Klaim

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

DLL Pemuat Klaim

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

DLL Pemuat Klaim

7979686bf73c2988ab5d57f9605
DCEF2231CA87580F6ECEDC75B2CBE
81669ba0

SHA256

Arsip bersenjata

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

Arsip bersenjata

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

Arsip bersenjata

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
FF874C

SHA256

Arsip bersenjata

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

Arsip bersenjata

218.255.96[.]245:443

IPv4

Server Pubload C2

IBM® X-Force Premier Threat Intelligence sekarang terintegrasi dengan OpenCTI oleh Filigran, memberikan intelijen ancaman yang dapat ditindaklanjuti tentang aktivitas ancaman ini dan banyak lagi. Akses insight tentang aktor ancaman, malware, dan risiko industri. Pasang X-Force OpenCTI Connector untuk meningkatkan deteksi dan respons, memperkuat keamanan siber Anda dengan keahlian IBM® X-Force. Dapatkan uji coba X-Force Premier intelijen ancaman  30 Hari ini!

