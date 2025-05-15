Tag
Keamanan

Hive0154 menargetkan AS, Filipina, Pakistan dan Taiwan dalam dugaan kampanye spionase

Bumi dari luar angkasa dengan garis digital yang menghubungkan titik-titik di planet ini

Penyusun

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

Pada Mei 2025, IBM X-Force melacak kampanye spionase yang dicurigai menggunakan arsip ZIP bersenjata untuk mendistribusikan pintu belakang Pubload dan Toneshell. X-Force mengaitkan kampanye ini, yang kemungkinan dimulai pada akhir 2024, dengan aktor ancaman yang selaras dengan China Hive0154, yang operasinya tumpang tindih dengan kelompok yang dilacak sebagai Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, dan Earth Preta. Arsip berisi umpan bertema politik yang kemungkinan dirancang untuk menarik personel pemerintah, militer dan diplomatik di Filipina, Amerika Serikat dan Pakistan. Subkluster Hive0154 telah menggunakan taktik serupa di masa lalu. Secara khusus, mereka telah menggunakan malware Claimloader untuk menginstal backdoor persisten yang memfasilitasi akses langsung ke lingkungan korban untuk mendapatkan insight lanjutan tentang keputusan pemerintah dunia yang muncul. X-Force juga mengamati kelompok yang menggunakan cacing USB untuk menyebarkan Pubload di Taiwan, berpotensi menjangkau jaringan yang mungkin mengalami lubang udara.

Temuan utama

  • Hive0154 adalah aktor ancaman yang mapan yang selaras dengan China dengan gudang malware yang besar, teknik yang konsisten, dan aktivitas yang terdokumentasi dengan baik selama beberapa tahun terakhir
  • Di antara gudang malware, X-Force menemukan sejumlah alat yang dirancang untuk menargetkan audiens tertentu, kemungkinan menargetkan pemerintah , militer, dan diplomatik Filipina, Amerika Serikat dan Pakistan
  • Penemuan X-Force menunjukkan penggunaan topik geopolitik Hive0154 yang disesuaikan untuk audiens yang terpisah: 1. Filipina, menggunakan ketegangan Laut China Selatan; 2. Pakistan, menggunakan kegiatan separatis Balochistan; dan 3. Amerika Serikat, menggunakan catatan pertemuan Dewan Keamanan Nasional palsu
  • Serangan khusus ini menunjukkan bahwa Hive0154 kemungkinan berusaha untuk mendapatkan intelijen tentang strategi potensial dan niat pemerintah A.S. dan negara tetangga ke Tiongkok
  • Salah satu subcluster Hive0154 secara konsisten menggunakan varian Claimloader yang berkembang untuk menerapkan backdoor Pubload dan Toneshell terkait dan entitas target di Eropa, kawasan Asia-Pasifik dan AS
  • X-Force menyelidiki aktivitas baru-baru ini di Taiwan, di mana cacing USB HIUPAN digunakan untuk menyebarkan backdoor Pubload ke perusahaan manufaktur besar. Hive0154 juga menggunakan nama file yang terkait dengan faktur dan dokumen hukum sebagai umpan untuk menargetkan Taiwan pada Mei 2025

Gambaran umum Hive0154

Setidaknya sejak 2022, Hive0154 telah menggunakan keluarga malware Toneshell antara lain untuk melakukan operasi cyber di seluruh dunia. Malware terkait ToneShell, seperti Pubload dan Pubshell (alias NoFive), menunjukkan kelompok tersebut mempertahankan untaian malware terpisah sebagai bagian dari operasi mereka. Kelompok ini terdiri dari beberapa subcluster dan menargetkan organisasi publik dan swasta, termasuk think tank, kelompok kebijakan, lembaga pemerintah dan individu. X-Force menilai bahwa aktor ancaman ini adalah ancaman yang mampu sebagaimana dibuktikan dengan penggunaan beberapa pemuat malware independen, keluarga cacing backdoor dan USB, dan pelaporan aktivitasnya yang konsisten oleh beberapa tim riset keamanan.

Aktivitas sebelumnya

Pada tahun 2023, Palo Alto melaporkan bahwa salah satu subkluster Hive0154 trek X-Force menggunakan berbagai iming-iming untuk menyebarkan backdoor Pubload. Beberapa iming-iming di bawah ini juga bertepatan dengan kampanye melawan Myanmar seperti yang dilaporkan oleh CSIRT CTI pada bulan Januari 2024. Umpan di bawah ini menunjukkan minat China yang berkelanjutan di negara-negara Asia Tenggara dan Australia.

Nama umpan

Deskripsi

SHA256

Tanggal

Notice re UEC, (04-25-2023 Day).zip

Tidak diketahui

167a842b97d0
434F20E0CD6CF
73d07079255a7
43d26606b94fc
785a0f3c6736e

April 2023

Daftar partai diperbarui 27 April.zip

Tidak diketahui

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

April 2023

Biografi Senator yang Terhormat Don Farrell.zip

Nama file tampaknya merupakan salinan langsung dari judul yang muncul di situs Perdagangan dan Pariwisata Australia tentang menteri Perdagangan Australia.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

April 2023

SAC memiliki beberapa persyaratan instruksional untuk pemilihan umum

Tidak diketahui

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

April 2023

National Security Priority Programs.zip

Tidak diketahui

A02766B3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

Mei 2023

230605 Notulen rapat menteri (1).zip

File tersebut mungkin mengacu pada deklarasi yang terjadi di Paris pada 8 Juni 2023 oleh menteri dari Australia, Kanada, Jepang, Amerika Serikat, Inggris, dan Selandia Baru atas praktik perdagangan yang kasar mengenai kawasan Asia-Pasifik.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

Juni 2023

NUG's Foreign Policy Strategy.zip

Kata-kata muncul di halaman web CSIS Indonesia ini, mengenai situasi yang terjadi di Myanmar, yang terlibat dalam perang saudara, dengan laporan menunjukkan bahwa China dilaporkan mempertimbangkan untuk mengirim personel keamanan untuk mendukung pemerintah junta militer Myanmar, menurut laporan Desember 2024.

BA7c456F229ADC
4bd75bfb87681
4b4tuli6768ffe
95a03021aead03
e55e92c7c

Agustus 2023

Analisis pertemuan ketiga NDSC.zip

File tersebut mungkin merupakan bagian dari kampanye yang dilaporkan sebelumnya terhadap pemerintah Myanmar oleh Stately Taurus pada awal 2024. Sekitar Oktober 2023, Myanmar terlibat dalam perang saudara antara faksi pemberontak dan pasukan pemerintah, di mana pasukan pemberontak telah secara efektif menguasai rute perdagangan utama untuk China. 

4e8717c9812318f8
775A94FC2BFFFF050
EACFBC30EA25D0D3
DCFE61B37FE34BB

November 2023

    

File ZIP yang dipersenjatai umumnya berisi eksekusi sah yang diganti namanya, seperti SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), yang digunakan untuk mem-sideload DLL berbahaya. DLL adalah bagian dari keluarga Claimloader, yang terdiri dari berbagai varian shellcode loader yang digunakan oleh Hive0154 selama bertahun-tahun untuk memuat muatan yang terkait dengan keluarga backdoor Pubload dan Toneshell.

Sepanjang tahun 2024, aktivitas Hive0154 lebih lanjut tercatat FatzQuatzStrikeReadyLabs Twitter/X account, dan Hunt.io:

Nama umpan

Deskripsi

SHA256

Tanggal

Pertemuan Request--30-31-05.zip

Tidak diketahui

09597C284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

Mei 2024

EBO Brainstorming Jumat 24 hingga
Sabtu 25 Mei 2024.zip

Tidak diketahui

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

Mei 2024

Templat daftar peserta (24-6-2024).zip

Tidak diketahui

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

Juni 2024

Pemberitahuan Pertemuan Akhir.zip

Tidak diketahui

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

Juli 2024

A1.Pedoman untuk Mendorong Soft Power untuk Mempromosikan Citra Thailand dan
Daya Saing
di Dunia Stage.pptx

Tidak diketahui

727cc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

Juli 2024

Wawancara dengan Surachet
Praweewongwut.rar

Tidak diketahui

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

Agustus 2024

KTT Pertahanan IISS Praha 2024.zip

Sebelumnya dilaporkan kampanye Mustang Panda menargetkan peserta KTT Pertahanan IISS di Praha, pada November 2024.

1387ec22a339
1647e25d2cb7
22CD89E255D3
EBFE586CF5F69
9eae22c6e008
c34

Agustus 2024

NDI-IRI_Election_
Pengamatan_
Mission_Report.zip

Nama file tampaknya mengacu pada laporan NDI-IRI yang diterbitkan pada Juni 2023 tentang pemilihan di Nigeria. Laporan ini ditugaskan dengan dukungan dari Badan Pembangunan Internasional AS (USAID).

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

Agustus 2024

daftar informasi kepemimpinan.zip

Tidak diketahui

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
A752BA3C3FD

Agustus 2024

Permintaan Input untuk tanggal 6
Filipina-
Gabungan Thailand
Komisi Bilateral
Kerjasama
(JCBC)
Menteri
Meeting.exe

Iming-iming itu kemungkinan mengacu pada pertemuan bilateral antara Thailand dan Filipina yang terjadi pada Oktober 2024.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(EXE yang sah,
sesuai
DLL tidak dikenal)

September 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

Dokumen iming-iming tersebut tampaknya berasal dari Badan Nasional Penanggulangan Bencana Malaysia (NADMA, Agensi Pengurusan Bencana Negara) dan tanggapan yang sedang berlangsung terhadap Covid-19 di Malaysia. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

Oktober 2024

    

Teknik sideloading DLL dalam ZIP tetap sama, tetapi versi yang berbeda dari DLL Claimloader terdaftar dengan perubahan pada algoritma dekripsi. Beberapa kampanye juga menggunakan DLL Toneshell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b) secara langsung. 

Ketegangan di Laut Cina Selatan

X-Force mengamati beberapa kampanye baru pada akhir 2024 dan awal 2025 mengikuti TTP yang sama, yang dikaitkan dengan subcluster Hive0154 yang sama. Varian Claimloader terbaru juga mendukung pembukaan PDF umpan sebagai bagian dari rutinitas instalasi, sebelum menyuntikkan payload shellcode mereka. PDF, serta DLL, menggunakan atribut file untuk tetap tersembunyi bagi pengguna standar.

Dua umpan dan nama file umpan terkait mereka secara khusus menyebutkan ketegangan di Laut China Selatan antara China dan Filipina, dengan pemerintah Filipina menyerukan kerja sama militer yang erat dengan Amerika Serikat sehubungan dengan meningkatnya kegiatan militer China. Perkembangan ini kemungkinan akan menimbulkan minat yang lebih besar dari para penerima, yang mungkin akan lebih cenderung untuk membuka lampiran. Penerima tersebut mungkin termasuk pemerintah Filipina, personel militer dan diplomatik, dan mungkin juga melibatkan pemerintah AS dan personel militer yang tugasnya mungkin memerlukan keterlibatan dalam topik yang disajikan oleh nama file.

Nama umpan

Nama file umpan

DLL SHA256 terkait

Tanggal

Laporan Penilaian 10-17 Oktober\China, Bentrokan Filipina Berakhir
Kedaulatan Laut China Selatan
.exe

20241009 Lao PDR_Tinjauan dan Keputusan PEMIMPIN ASEAN tentang 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
BF7618AF19B53CD0
696b70a

Oktober 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

A6DFB41Bbad08E3F
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

November 2024

Keduanya memikat sampingan DLL Claimloader, yang memuat backdoor Toneshell yang sama yang dirinci lebih lanjut di bawah ini. 

Pemuat Klaim

Claimloader adalah keluarga loader yang digunakan oleh Hive0154 di masa lalu untuk memuat berbagai payload shellcode, termasuk Toneshell dan Pubload. Selama bertahun-tahun, ia telah berkembang menjadi beberapa versi berbeda dengan fungsionalitas yang bervariasi.

Salah satu sampel awal, yang disusun pada akhir 2021, dipublikasikan oleh Unit 42 Palo Alto. Ini menggunakan teknik yang menarik, menyalin shellcode ke buffer melalui UuidFromStringA API. Selanjutnya mengeksekusi shellcode sebagai fungsi callback yang diteruskan ke EnumSystemLanguageGroupsA.

Kode sampel Claimloader awal
Gbr. 1: Sampel Claimloader Awal (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

Teknik serupa sebelumnya dilaporkan oleh kelompok NCC.

Pada bulan November 2022, LAC melaporkan varian Claimloader kemungkinan menargetkan organisasi pemerintah di Filipina dalam rantai infeksi yang hampir persis sama dengan aktivitas pada tahun 2023-2024 yang dirinci di bagian sebelumnya. Varian menyimpan payloadnya sebagai blok 32-byte dari string tumpukan terenkripsi, sebelum mendekripsi masing-masing. Ini juga menyalin eksekusi yang sah dan DLL Claimloader ke direktori baru sebelum mencoba membangun persistensi melalui registri atau tugas terjadwal, secara efektif menjadikannya penginstal selain loader.

Setelah eksekusi, malware dimulai dengan membuat mutex hardcode untuk memastikan hanya satu instance Claimloader yang berjalan. Selanjutnya, ia memeriksa argumen baris perintah tertentu, yang tidak ada pada proses pertama. Jika itu masalahnya, Claimloader akan menyalin EXE dan DLL ke direktori baru yang tidak mencolok, seringkali di bawah “C:\ProgramData\”, meniru direktori perangkat lunak seperti:

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

Perilaku ini digunakan oleh sebagian besar sampel Claimloader yang lebih baru dan juga dapat menyebabkan eksekusi sandbox yang tidak berhasil. 

Selanjutnya, malware menetapkan persistensi pada login dengan menyimpan jalur EXE dengan argumen baris perintah yang benar di kunci registri baru lagi dengan nama perangkat lunak yang tidak mencolok di bawah:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Claimloader juga menggunakan mekanisme persistensi sekunder dengan membuat proses berikut untuk membuat tugas terjadwal, yang akan menjalankan loader setiap 5 menit:

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

Perhatikan bahwa teknik yang tepat mungkin menyimpang; satu sampel, misalnya, menggunakan objek COM sebagai gantinya untuk menjadwalkan tugas dengan menghubungkan ke antarmuka iTaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

Algoritma dekripsi Claimloader bervariasi dalam sampel antara DES (versi terbaru), setidaknya dua implementasi rutinitas dekripsi berbasis AES dan XOR menggunakan seed hardcode untuk menghasilkan keystream melalui fungsi _s rand ():

Dekripsi AES 128 ECB Claimloader
Gbr. 2: Dekripsi ECB Claimloader AES 128 (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
Claimloader menggunakan checksum dan seeded _srand () untuk menghasilkan keystream selama dekripsi
Gbr. 3: Claimloader menggunakan checksum dan seeded _srand () untuk menghasilkan keystream selama dekripsi (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

Untuk mengeksekusi payloadnya setelah dekripsi, sebagian besar varian Claimloader menggunakan API dengan fungsi callback, tetapi ada juga varian yang membuat thread baru atau secara langsung memanggil payload sebagai fungsi.

Di bawah ini adalah tabel sampel Claimloader yang berbeda dan tekniknya:

Contoh SHA256

Nama DLL

Persistensi

 Dekripsi

 Teknik eksekusi

3af7807efb105
25196c562c1f91
d2f009c836630
A899F76E2DB80
ae7c1714d01

Amind
PDF
Core.dll

Registri dan dijadwalkan
tugas " Amind
PDF "

 _srand () keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812DF24FB8CE 

kebebasan
.dll

Registri dan tugas yang dijadwalkan
melalui COM
"Pembaruan Fhbemb"

 AES

Panggilan langsung

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

Tidak ada

 AES, dengan muatan disimpan dalam string tumpukan

EnumCalendarInfoExW

c7efd45aa7dd1e
CD05571F15D83E
9c9fb92090286
87498BF3CE52411
A44662AC

Padat
PDF
Pencipta
.dll

Registri dan tugas terjadwal " jxbrowser-chromiumim "

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-kromium
-lib.dll

Registri dan tugas terjadwal " jxbrowser-chromiumim "

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

Registri dan tugas terjadwal " Wargaming
Grup "

 _srand () keystream

EnumFontsW

4C66E7EBF2CA2E
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

Registri dan tugas terjadwal "NVIDIA_
GPU_Core"

 DES

EnumFontsW

Beberapa sampel terbaru telah menambahkan dukungan untuk menampilkan PDF umpan selama eksekusi pertama Claimloader.

Claimloader membuka PDF umpan selama eksekusi dan menghapus atribut file-nya
Gbr. 4: Claimloader membuka PDF umpan selama eksekusi dan menghapus atribut file-nya

Setelah membuka file PDF untuk pengguna, Claimloader menghapus atribut file "System" dan "Hidden" untuk membuat PDF terlihat secara permanen oleh pengguna di folder terbuka. 

Varian Claimloader terbaru pada saat publikasi menggunakan nama API dan DLL yang dikaburkan, yang dienkripsi XOR dengan 0x99. Selama eksekusi, loader mendekripsi string dan memanggil LdrLoadDll dan LdrGetProcedureAddress untuk menyelesaikan penunjuk fungsi untuk API yang dibutuhkan.

Claimloader menyelesaikan nama API terenkripsi XOR
Gambar 5: Claimloader menyelesaikan nama API terenkripsi XOR

Toneshell 

Kedua DLL Claimloader yang terkait dengan umpan Laut China Selatan memuat pintu belakang Toneshell yang sama (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) sebagai kode shell, yang merupakan PE yang valid pada saat yang sama. 

Loader shellcode di header DOS dari pintu belakang Toneshell
Gambar 6: Loader shellcode di header DOS dari pintu belakang Toneshell

DOS Header dimodifikasi untuk menyertakan stub kecil untuk memanggil fungsi lain di offset 0x4200, sambil memberikan alamat dasar PE sebagai argumen. Fungsi loader ini melanjutkan untuk memuat PE secara manual, menyelesaikan impor yang diperlukan dan memetakan bagian ke dalam memori. Teknik ini memungkinkan pengembang malware untuk mengubah PE yang valid menjadi kode shell pasca-kompilasi. 

Keluarga Toneshell terdiri dari gudang besar varian yang berbeda dan telah berkembang secara signifikan dari waktu ke waktu. Meskipun berbagi kode yang kuat tumpang tindih dengan backdoor Pubload, itu dilacak secara terpisah oleh X-Force. Varian mungkin berbeda dalam mekanisme C2, protokol C2 khusus, perintah yang didukung dan hash API. X-Force juga mengelompokkan beberapa versi kerangka kerja cacing USB yang disebut "Tonedisk" di bawah keluarga Toneshell. 

Backdoor Toneshell dari kampanye di atas adalah varian yang relatif sederhana dan dirancang untuk membangun shell terbalik melalui server C2-nya. 

Ini dimulai dengan menyelesaikan API-nya dan membuat GUID baru melalui co CreateGUID. 16 byte yang dihasilkan digunakan sebagai pengenal korban yang unik dan ditulis dalam file baru:

c:\\users\\public\\description.ini

Selanjutnya, ia membuat acara baru " Fool87012900137 ", yang digunakan sebagai mutex untuk memastikan itu adalah satu-satunya instance yang berjalan. Toneshell menginisialisasi struct utamanya dengan alamat server C2 (45 [.] 136 [.] 254 [.] 193:443), GUID dan nama komputer korban, di antara nilai konfigurasi lainnya. Ini juga menginisialisasi implementasi Microsoft " rand " PRNG.

Untuk setiap suar yang menanyakan perintah pada server C2, Toneshell menghasilkan kunci 256-byte berikutnya dari PRNG, yang digunakan untuk mengenkripsi komunikasi C2, GUID dan nama komputer.

Fungsi toneshell untuk menghasilkan kunci C2 dan mengenkripsi GUID dan nama komputer
Gbr. 7: Fungsi Toneshell untuk menghasilkan kunci C2 dan mengenkripsi GUID dan nama komputer

Suar TCP berisi nilai-nilai berikut yang diformat dengan header yang meniru paket Data Aplikasi TLS (17 03 03):

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

Toneshell mengharapkan respons serupa kembali dari server:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Setelah mendekripsi respons, byte pertama diurai sebagai nilai perintah, byte kedua digunakan sebagai pengidentifikasi untuk pipa yang dibuat dan sisanya sebagai payload perintah.

Sebelum menangani perintah, Toneshell membuat thread baru yang mengirimkan suar respons seperti detak jantung setiap 30 detik. Setiap suar juga harus mengirim byte terendah yang benar dari 4 byte berikutnya yang dihasilkan oleh keystream PRNG yang diinisialisasi untuk Verify integritas komunikasi ke server C2. Beacon ini diformat sebagai berikut:

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

Versi Toneshell ini mendukung kode perintah C2 berikut:

Kode

Deskripsi

1

Tunggu - Lanjutkan menunggu perintah dengan muatan yang tidak kosong.

2

Buat file baru (hapus jika sudah ada)

3

Menulis data ke file

4

Tulis data ke file dan konfirmasikan melalui respons beacon

5

Buat shell terbalik melalui pipa

6

Tulis perintah shell ke pipa

7

Akhiri shell terbalik

Untuk membuat shell terbalik, Toneshell menyiapkan dua pipa anonim dan membuat proses cmd.exe baru menggunakan pipa untuk menulis data ke stdin dan membaca data dari stdout dan stderr. 

Toneshell menggunakan pipa anonim untuk membuat shell terbalik
Gbr. 8: Toneshell menggunakan pipa anonim untuk membuat cangkang terbalik

Dengan menambahkan pegangan ke pipa ke dalam struktur STARTUPINFO dari proses baru, Toneshell dapat menjalankan perintah arbitrer hanya dengan menulis ke pipa. Di thread baru, Toneshell mengintip pipa untuk output baru menggunakan PeekNamedPipe setiap 100ms. Setiap data baru dibaca dari pipa dan diteruskan kembali ke server C2.

Aktivitas awal tahun 2025

Pada Februari 2025, X-Force mengamati kampanye Hive0154 yang mengirimkan backdoor Pubload melalui varian Claimloader serupa seperti yang dijelaskan di atas. Keempat sampel di bawah ini berbagi server C2 yang sama 218 [.] 255 [.] 96 [.] 245:443

Nama umpan

Negara pengirim

Nama DLL Claimloader

Klaim loader Mutex

DLL SHA256

Tanggal

BLA, BLF,
BRAS,
BRG, BRA,
UBA
(Penelitian & Analisis) Report.exe

 Pakistan

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
DD1ECD0557
1f15d83e9c9f
B920902868
7498BF3CE52
411a44662ac

 12 Februari 2025

Tidak diketahui

 Hong Kong

 SolidPDF
Creator.dll

 MTM2025
1103

087CCC7F6C02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11 Maret 2025

(The_
Militer
Keseimbangan
2025) -Halaman-
A.zip

 Filipina

 Chrome_
elf.dll

 CATM2025
tahun 2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78C8EBF35CD4CB
686d45f5aaf7b

 20 Maret 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 Amerika Serikat

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17 April 2025

Undangan untuk
Pertemuan Antar
Instansi
Pertemuan Antar Instansi untuk
KTT ASEAN ke-46
KTT ASEAN.exe

 Filipina

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29 April 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 Tidak diketahui (kemungkinan Taiwan)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409FA10C7446F71
ed8ec

 7 Mei 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 Taiwan

 helper_
core.dll

 

 Tidak diketahui

Tidak diketahui

 8 Mei 2025

Surat undangan
untuk
com
Lokakarya
- AMB.exe

 Tidak diketahui

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9 Mei 2025

Dalam kasus file LNK di atas, ia mengeksekusi eksekusi yang diganti namanya yang sah untuk memulai sideloading DLL dari Claimloader:

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

Salah satu file ZIP yang dipersenjatai berisi eksekusi sah yang diganti namanya menjadi “BLA, BLF, BRAS, BRG, BRA, UBA (Research & Analysis) Report.exe”. Iming-iming tersebut kemungkinan besar merujuk pada Tentara Pembebasan Baloch (BLA), sebuah kelompok separatis militan, dan kelompok-kelompok militan terkait lainnya yang menyerukan pendirian negara baru Balochistan.  Penggunaan nama-nama tersebut dalam umpan kemungkinan merupakan upaya penyerang untuk meminta penerima yang tertarik untuk mengklik lampiran.

File lain, “NSC_Meeting_Minutes_Apr2025.lnk”, dapat merujuk ke pertemuan Dewan Keamanan Nasional A.S. dan catatan yang diklaim diambil, yang akan menarik bagi individu di pemerintah A.S. atau individu lain yang terlibat dalam intelijen, akademisi atau jurnalisme yang melibatkan urusan pemerintah A.S.. Seperti dalam umpan ‘BLA’ yang berpotensi menargetkan pejabat Pakistan, umpan ini mungkin diarahkan untuk A.S. audiens dengan nama file tawanan untuk menarik penerima untuk mengklik lampiran.

Nama file, “Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe”, dapat merujuk pada KTT Asosiasi Bangsa-Bangsa Asia Tenggara (ASEAN) mendatang pada 26 dan 27 Mei 2025, di Malaysia.

Nama file, "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe", dapat merujuk pada faktur pembayaran pembangkit listrik Fongde Taiwan sekitar April/Mei 2015.

File terakhir, “英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe”, dapat merujuk pada perjanjian non-pengungkapan yang seharusnya antara dua perusahaan kedirgantaraan Taiwan terkait dengan kendaraan udara tak berawak (UAV) dan pemeliharaan pesawat terbang.

Pubload

Pubload adalah pintu belakang yang pertama kali dijelaskan oleh Cisco Talos pada tahun 2022 sebagai stager yang tidak disebutkan namanya. Perhatikan bahwa X-Force mengidentifikasi loader untuk shellcode sebagai Claimloader dan pengunduh shellcode tahap pertama sebagai Pubload, sedangkan laporan TrendMicro mengidentifikasi keduanya sebagai Pubload. Claimloader telah digunakan untuk memuat Pubload dan Toneshell. Tim T5 melacak Pubload dan PubShell sebagai NoFive.

Payload shellcode Pubload dimulai dengan XOR mendekripsi sisa shellcode-nya menggunakan kunci XOR 32-byte:

Rutinitas dekripsi mandiri kode shell pubload
Gbr. 9: Rutinitas mendekripsi diri kode shell Pubload

Rutinitas dekripsi diri ini hanya ditambahkan dimulai dengan yang kedua dari empat sampel Claimloader di atas. Setelah dekripsi, ia melanjutkan untuk menyelesaikan semua API yang diperlukan, dikaburkan melalui algoritma ROR13. Selanjutnya, ia mengalokasikan memori baru dan mengatur struktur utamanya dengan alamat server C2 yang telah dikodekan sebelumnya dan kunci enkripsi, sebelum memulai perilaku utamanya.

Loop utama Pubload dimulai dengan menyebutkan nilai-nilai berikut:

  • Nomor seri volume disk drive C, melalui getVolumeInformationA.Dikaburkan dengan menambahkan 0x12345678, digunakan sebagai ID korban
  • Hitungan centang mesin melalui GetTickCount
  • Nama komputer korban melalui GetComputerNameA
  • Nama pengguna korban melalui GetUserNameA

Nilai-nilai ini diformat sebagai muatan suar pertama:

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

Payload dienkripsi menggunakan kunci hardcode dalam empat loop XOR berturut-turut dengan offset kunci yang berbeda:

Pubload loop enkripsi XOR berurutan
Gbr. 10: Loop enkripsi XOR berturut-turut Pubload

Mirip dengan Toneshell, payload terenkripsi ditempatkan ke dalam paket Data Aplikasi TLS palsu:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

Paket TCP dikirim ke server C2 hardcode-nya di

218[.]255[.]96[.]245:443

Sebagai imbalannya, Pubload mengharapkan respons yang diurai sebagai

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Setelah berhasil dekripsi payload, byte pertama diharapkan menjadi 0x06, sedangkan sisa data diurai sebagai struct di bawah ini untuk XOR mendekripsi payload shellcode yang diterima:

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

Akhirnya, Pubload menambahkan opsi perlindungan memori PAGE_EXECUTE_READWRITE yang diperlukan dan mengeksekusi shellcode, sambil memberikan info sistem yang disebutkan dan server C2 sebagai argumen. 

Tahap kedua Pubload: Pubshell

Payload shellcode (Pubshell) yang segera diunduh oleh Pubload menampilkan beberapa kesamaan dengan varian Toneshell yang dibahas di atas dan memiliki fungsi yang sama—untuk membuat shell terbalik melalui pipa.

Ini dimulai dengan prosedur penyiapan biasa, menyelesaikan API, mengalokasikan memori dan menginisialisasi struct utamanya dan kunci yang sama dengan sampel Pubload induknya. 

Suar pertama seperti Pubload, kecuali untuk byte pertama dari payload (kode sbeacon), yaitu 0x0B.

Fungsi Pubload/Pubshell untuk membangun suar
Gambar 11: Fungsi Pubload/Pubshell untuk membangun suar

Sekali lagi, byte pertama dari respons yang didekripsi bertindak sebagai kode perintah untuk menentukan perilaku Pubshell:

Kode perintah

Deskripsi

1

Setel ulang ID korban ke nomor seri awal yang dikaburkan

3

Tetapkan ID korban baru

4

Tetapkan frekuensi suar dalam detik (nilai awal adalah 10 detik)

5

Hentikan suar

26

Menghapus file

27

Membuat file baru

29

Tulis data ke file yang baru dibuat

30

Buat shell terbalik melalui pipa

31

Tulis perintah baru ke pipa

32

Hentikan shell terbalik dan tutup semua pegangan dan proses terkait

48

Baca hasil perintah (stdin, stderr) dari pipa

Sama seperti Toneshell, Pubshell mengirimkan kembali kode respons yang berbeda ke server C2-nya, tergantung pada hasil perintah. Misalnya, kedua perintah untuk membuat file baru (27) dan menulis ke file itu (29) akan mengembalikan kode 42 setelah berhasil dan 43 pada kegagalan. Selain itu, Pubshell juga menyertakan string pesan kesalahan yang lebih rinci, seperti:

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

String serupa juga diamati pada varian Toneshell lainnya.

Implementasi Pubshell dari shell terbalik melalui pipa anonim hampir identik dengan Toneshell. Namun, alih-alih menjalankan thread baru untuk segera mengembalikan hasil apa pun, Pubshell memerlukan perintah tambahan untuk mengembalikan hasil perintah. Ini juga hanya mendukung menjalankan "cmd.exe" sebagai cangkang.

Dalam beberapa hal, Pubload dan Pubshell tampaknya merupakan versi "lite" dari Toneshell yang dikembangkan secara independen, dengan kecanggihan yang kurang dan tumpang tindih kode yang jelas.

Menargetkan Taiwan dengan USB Worm HIUPAN

Pada Desember 2024, X-Force mengamati aktivitas Hive0154 tambahan yang menargetkan Taiwan dengan pintu belakang Pubload. Pada bulan Maret, X-Force terlibat dengan perusahaan manufaktur besar untuk menyelidiki infeksi Pubload di Taiwan. Dalam insiden tersebut, pelaku ancaman memanfaatkan worm USB HIUPAN untuk menyebarkan Claimloader dan Pubload melalui perangkat USB. Cacing tersebut kemungkinan digunakan sebagai muatan lanjutan pada infeksi Pubload awal untuk meningkatkan jumlah infeksi dan berpotensi menjangkau jaringan yang mungkin memiliki celah udara. Hubungan kedua varian malware ini telah didokumentasikan sebelumnya oleh Trend Micro

HIUPAN (alias U2DiskWatch) adalah cacing USB, yang DLL utamanya “u2ec.dll” diunggah melalui EXE “UsbConfig.exe” yang sah ketika pengguna secara tidak sengaja mengeksekusinya dari perangkat USB. Cacing ini melakukan tugas-tugas berikut:

  • Menyalin dirinya sendiri dan komponen malware yang menyertainya ke direktori di mesin korban: C:\ProgramData\Intel\ _\
  • Menetapkan persistensi melalui kunci registri HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Run
  • Memodifikasi kunci registri untuk memastikan file dan ekstensi tersembunyi tidak terlihat di Windows Explorer: HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced
  • Mengeksekusi eksekusi utama malware yang menyertainya, dan memantau proses untuk memulai ulang jika perlu
  • Monitor untuk koneksi perangkat USB baru. Jika ditemukan, HIUPAN menyalin dirinya sendiri dan komponen malware yang menyertainya ke drive baru di subdirektori tersembunyi “<Drive_Letter>:\ _\ _\ _\ _\ _\ _\ _\ _\ _\ _\ _\ _\ _\ _\” dan menyembunyikan file lain yang ada untuk memastikan “UsbConfig.exe” adalah satu-satunya file yang terlihat di perangkat

HIUPAN menggunakan file konfigurasi “$.ini” untuk menyimpan pengganda tidur dan nama file komponen dan malware yang menyertainya. Ini membuatnya sangat mudah untuk mengkonfigurasi worm untuk menyebarkan malware apa pun hanya dengan bertukar file muatan dan konfigurasi berbasis teks.

File konfigurasi yang diamati pada infeksi berbasis Taiwan yang menyebarkan Claimloader dan Pubload ditampilkan di bawah ini:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

Kode perintah

Deskripsi

1

Setel ulang ID korban ke nomor seri awal yang dikaburkan

3

Tetapkan ID korban baru

4

Tetapkan frekuensi suar dalam detik (nilai awal adalah 10 detik)

5

Hentikan suar

26

Menghapus file

27

Membuat file baru

29

Tulis data ke file yang baru dibuat

30

Buat shell terbalik melalui pipa

31

Tulis perintah baru ke pipa

32

Hentikan shell terbalik dan tutup semua pegangan dan proses terkait

48

Baca hasil perintah (stdin, stderr) dari pipa

HIUPAN bukan satu-satunya worm USB yang digunakan oleh Hive0154. Beberapa kerangka kerja dan varian lain yang mendistribusikan malware, seperti Toneshell dan Pubshell, masih aktif menyebar dan secara teratur diunggah ke VirusTotal.

Kesimpulan

Ruang lingkup operasional yang luas dari Hive0154 yang dibahas dalam blog ini menjadi jelas melalui pemanfaatan beragam alat, teknik inovatif, dan beragam calon korban. Kelompok-kelompok yang bersekutu dengan China seperti Hive0154 akan Lanjutkan memperbaiki gudang malware besar mereka dan mempertahankan fokus pada organisasi yang berbasis di Asia Timur di sektor swasta dan publik. Beragam alat mereka, siklus pengembangan yang sering, dan distribusi malware berbasis cacing USB menyoroti mereka sebagai aktor ancaman yang canggih. Entitas yang berisiko aktivitas Hive0154 harus tetap pada keadaan keamanan defensif yang tinggi dan tetap waspada sehubungan dengan teknik yang disebutkan dalam laporan ini.

Rekomendasi

  • Memantau dan mencari paket Data Aplikasi TLS 1.2 di jaringan (header: 17 03 03) tanpa jabat tangan TLS sebelumnya sebagai tanda beacon Pubload atau Toneshell
  • Memantau dan mencari di jaringan paket Data Aplikasi TLS 1.3 palsu (header: 17 03 04), yang digunakan oleh beberapa varian Toneshell. Paket TLS 1.3 asli dikirim dengan header TLS 1.2 lama untuk kompatibilitas mundur dengan proxy yang hanya menerima versi TLS tertentu.
  • Memantau dan mencari drive USB yang berisi nama eksekusi yang mencurigakan, DLL, dan direktori tersembunyi yang dapat menunjukkan perangkat yang terinfeksi cacing USB
  • Pantau dan cari direktori yang mencurigakan dan tidak dikenal di C:\ProgramData\ yang berisi EXE sah yang rentan terhadap sideloading DLL dan DLL yang sesuai
  • Memantau dan mencari teknik persistensi seperti kunci Run registri dan tugas terjadwal
  • Pantau aktivitas jaringan, persistensi, atau modifikasi file yang tidak biasa yang berasal dari eksekusi proses yang tampaknya jinak yang memuat DLL berbahaya

Indikator kompromi

Indikator

Jenis Indikator

Konteks

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Hive0154 arsip bersenjata

41276827827b95c9b5a9f
BD198B7CFF2AFF6F90F2B2B
3ea84fadb69c55efa171

SHA256

Hive0154 arsip bersenjata

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Hive0154 arsip bersenjata

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

SFX yang dipersenjatai Hive0154

A02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Hive0154 arsip bersenjata

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Hive0154 arsip bersenjata

ba7c456f229adc4bd75bfb8
76814b4tuli6768ffe95a030
21AEAD03e55e92c7c

SHA256

Hive0154 arsip bersenjata

4e8717c9812318f8775a94fc
2BFCF050EACFBC30EA25D0D
3dcfe61b37fe34bb

SHA256

Hive0154 arsip bersenjata

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Hive0154 arsip bersenjata

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Hive0154 arsip bersenjata

FEF713B237179F4d6bea899687
D91073C457E0487b6EFD91390
2089444a7d2f2

SHA256

Hive0154 arsip bersenjata

727cc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Hive0154 arsip bersenjata

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Hive0154 arsip bersenjata

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Hive0154 arsip bersenjata

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
ACBB09C9050C4

SHA256

Hive0154 arsip bersenjata

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
A752BA3C3FD

SHA256

Hive0154 arsip bersenjata

cc4e5d175fc85685e7f31c2e7797
A3d3a74e751716724b86033e92
321fef1bae

SHA256

Hive0154 arsip bersenjata

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41CD04D8A5F

SHA256

Hive0154 arsip bersenjata

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Hive0154 arsip bersenjata

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Hive0154 arsip bersenjata

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Hive0154 arsip bersenjata

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Hive0154 arsip bersenjata

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
A6cab1EF5AF

SHA256

Hive0154 arsip bersenjata

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3FA9E83CCC

SHA256

Hive0154 arsip bersenjata

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Hive0154 arsip bersenjata

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Hive0154 arsip bersenjata

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Sampel Claimloader Awal

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3CD0696B70A

SHA256

DLL Pemuat Klaim

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

DLL Pemuat Klaim

A6DFB41Bbad08E3FE663EFA325E
4c58d9fddb4fe78f38bce180dfc4
956581AEA

SHA256

DLL Pemuat Klaim

3af7807efb10525196c562c1f91d2
F009C836630A899F76E2DB80AE7
c1714d01

SHA256

DLL Pemuat Klaim

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2DF24FB8CE 

SHA256

DLL Pemuat Klaim

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475BD176A

SHA256

DLL Pemuat Klaim

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

DLL Pemuat Klaim

A6DFB41Bbad08E3FE663EFA325E
4c58d9fddb4fe78f38bce180dfc4
956581AEA

SHA256

DLL Pemuat Klaim

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

DLL Pemuat Klaim

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

DLL Pemuat Klaim

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

DLL Pemuat Klaim

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

DLL Pemuat Klaim

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

DLL Pemuat Klaim

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
F71ed8ec

 

SHA256

 

DLL Pemuat Klaim

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

DLL Pemuat Klaim

0BD114FECFD3C09820FA013D8CD8
aadedee69906b6f81a2e827b
BA68DDF1023B

SHA256

Pintu belakang Toneshell

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

Pintu belakang Toneshell

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
AC1E354201

SHA256

Pintu belakang Toneshell

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
CD3F0666EAD

SHA256

Pintu belakang Pubload

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172FA602c

SHA256

Pintu belakang Pubload

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Pintu belakang Pubshell

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

HIUPAN USB worm

f5fd2905d90755d021e1442c34f
A628d56598AE1043a7C1103BD5
e21c7706168

SHA256

HIUPAN USB worm

45[.]136[.]254[.]193:443

Alamat IP, port

Server Toneshell C2

45[.]144[.]165[.]66

Alamat IP, port

Server Toneshell C2

218[.]255[.]96[.]245:443

Alamat IP, port

Server Pubload C2

103[.]27[.]202[.]132

Alamat IP, port

Server Toneshell C2

45[.]12[.]91[.]223:443

Alamat IP, port

Server Pubload C2

IBM® X-Force Premier intelijen ancaman sekarang terintegrasi dengan OpenCTI, memberikan intelijen ancaman yang dapat ditindaklanjuti tentang aktivitas ancaman ini dan banyak lagi. Akses insight tentang aktor ancaman, malware, dan risiko industri. Instal OpenCTI Connector untuk meningkatkan deteksi dan respons, memperkuat keamanan siber Anda dengan keahlian IBM® X-Force. Tetap terdepan-integrasihari ini!

