Pada periode Agustus hingga Oktober 2025, IBM® X-Force mendeteksi sejumlah email yang diarahkan kepada calon korban berbahasa Spanyol di Kolombia, menggunakan topik yang menyinggung lembaga Kejaksaan Agung negara tersebut. Pesan-pesan itu dirancang untuk memancing penerima mengunduh “dokumen resmi” dari sistem informasi yudisial. Tindakan tersebut memicu proses infeksi yang mengeksekusi Hijackloader, yang selanjutnya mengantarkan pada pengaktifan Remote Access Trojan (RAT) PureHVNC.
Antara Agustus dan Oktober 2025, X-Force mengamati beberapa email yang menargetkan pengguna yang kemungkinan tinggal di Kolombia dengan email meniru kantor Jaksa Agung Kolombia dengan unduhan dokumen resmi. Email bertujuan untuk menggunakan Hijackloader untuk mengirimkan beberapa muatan, termasuk PureHVNC. Hijackloader sendiri belum banyak digunakan dalam kampanye yang menargetkan pengguna di Amerika Latin (LATAM), dan sebelumnya, tidak ada kampanye yang dapat diamati oleh X-Force di mana pengguna LATAM telah ditargetkan untuk mengirimkan PureHVNC. Pada tahun 2024, ada detail Hijackloader yang digunakan untuk memuat RemcosRAT dalam kampanye yang menargetkan pelanggan CrowdStrike, kemungkinan dari negara-negara LATAM (berdasarkan nama file dan instruksi Spanyol). Pengiriman PureHVNC RAT menarik karena X-Force sebelumnya tidak mengamati kampanye di mana PureHVNC dikirimkan ke pengguna berbahasa Spanyol. PureHVNC RAT adalah bagian dari seperangkat alat yang dijual oleh PureCoder. Alat berbahaya siap dijual di dark web di forum bawah tanah, serta di Telegram.
Pengguna disajikan dengan email yang mengaku sebagai korespondensi resmi terkait dengan kantor Jaksa Agung Kolombia. Email tersebut menyatakan bahwa gugatan telah diajukan oleh mantan karyawan, dan sedang diproses di pengadilan perburuhan. Terlampir pada email adalah file SVG, yang dibuka oleh korban di Google Drive. Dalam kebanyakan kasus, pratinjau dokumen terlihat dan siap untuk diunduh dengan mengklik tombol unduh. Dalam satu contoh, korban disajikan dengan “Tidak dapat melihat file” dan tombol unduh, yang membuka file di Google Drive. Bagaimanapun, saat berada di Google Drive, mengklik di mana saja pada dokumen akan mengunduh file arsip ZIP, dan korban sekarang disajikan dengan halaman “Unduh Lengkap” yang berisi kata sandi seperti “KC4SX87”. File ZIP tersebut berisi beberapa file tambahan, termasuk sebuah file eksekusi yang memerlukan kata sandi agar dapat dijalankan jika diklik oleh pengguna. Mengklik file EXE akan memulai rantai infeksi, di mana Hijackloader digunakan untuk menerapkan beberapa muatan yang berbeda, termasuk PureHVNC.
Tahap 1 malware: pemuatan samping DLL
Hijackloader menggunakan teknik yang disebut side-loading DLL, yang menyalahgunakan urutan pencarian yang digunakan Windows untuk menemukan pustaka yang diperlukan untuk mengeksekusi DLL berbahaya. Hijackloader menggunakan javaw.exe yang sahfile yang telah diganti namanya dengan nama bertema yudisial (02 BOLETA FISCAL.exe). Karena salah satu dependensi javaw.exe adalah JLI.dll, Hijackloader menempatkan versi modifikasi dari JLI.dll di direktori yang sama. Ketika javaw.exe yang diganti namanya diluncurkan, sistem operasi juga memuat DLL berbahaya dari direktori lokal.
Fungsi utama dari JLI.dll berbahaya adalah memuat payload tahap ke-2, MSTH7EN.dll. Proses ini dilakukan dengan memanggil API LoadLibraryW () , yang memuat MSTH7EN.dll ke dalam ruang alamat proses. Panggilan API mengembalikan alamat dasar gambar dari DLL yang baru dimuat. Alamat ini kemudian ditambahkan ke offset tertentu untuk menghitung titik masuk kode berbahaya di MSTH7EN.dll.
Tahap malware 2: Fase pemuatan
Payload tahap kedua dimulai dengan inisialisasi. Untuk menghindari deteksi, malware ini memuat dan menyelesaikan semua pustaka serta API yang diperlukan secara dinamis. Setelah selesai, program memverifikasi bahwa direktori kerja saat ini sesuai dengan lokasi Hijackloader, untuk memastikan payload tahap ketiga dapat direferensikan dan dimuat dengan benar.
Payload tahap ketiga berisi konfigurasi malware terenkripsi dengan komponen berikut:
Setelah dekripsi, konfigurasi malware berisi informasi, seperti berikut:
Kode shell kemudian dimuat ke dalam vssapi.dll, yang merupakan DLL yang ditentukan dalam konfigurasi malware. Ini dilakukan dengan memanggil VirtualProtect () untuk mengubah perlindungan memori bagian.text DLL menjadi PAGE_EXECUTE_READWRITE. Akhirnya, shellcode disalin ke alamat yang dapat ditulis ini, dan aliran eksekusi ditransfer ke sana.
Shellcode bertindak sebagai loader, tetapi pertama-tama, kode ini meng-hash nama proses yang sedang berjalan di sistem dan membandingkannya dengan nilai yang ditentukan dalam konfigurasi malware. Jika kecocokan ditemukan, malware menggunakan API ntDelayExecution () untuk menghentikan eksekusi sendiri.
Selanjutnya, program membaca isi dari Plagkeg.zk. Isi file ini adalah konfigurasi malware terenkripsi lainnya dan modul HijackLoader. Data dibagi menjadi beberapa bagian, dengan potongan awal berisi informasi berikut:
Potongan berikutnya mengikuti struktur ini:
Untuk merakit potongan-potongan ini, HijackLoader mengulangi melalui data terenkripsi mencari “???? Pola IDAT“, di mana tanda tanya bertindak sebagai wildcard. Setelah kecocokan ditemukan, ia memeriksa apakah empat byte segera mengikuti pola sama dengan 0xC6A579 EA. Ini menegaskan bahwa potongan awal telah ditemukan, yang penting karena berisi ukuran total shellcode dan kunci dekripsi. Jika nilainya cocok, HijackLoader menyimpan byte shellcode ke dalam buffer. Proses ini diulangi untuk setiap chunk berikutnya, di mana byte shellcode-nya ditambahkan ke buffer yang sama, hingga tidak ada lagi pola yang cocok ditemukan.
Setelah selesai, buffer yang berisi shellcode terenkripsi didekripsi menggunakan cipher XOR dan kemudian didekompresi menggunakan algoritma LZNT1. Hasilnya adalah struktur yang berisi berbagai informasi, seperti muatan akhir, struktur modul, dll.
Malware tahap 3: ti64 - modul utama
Fungsionalitas HijackLoader dibagi menjadi beberapa modul. Beberapa berisi kode yang dapat dieksekusi, sementara yang lain hanyalah informasi yang digunakan untuk referensi. Contohnya adalah modul COPYLIST, yang berisi daftar nama file yang terkait dengan varian HijackLoader ini. Sesuai laporan Trellix , beberapa varian HijackLoader mendukung hingga 40 modul, tetapi sampel yang dianalisis untuk laporan ini hanya mendukung 35. Tidak semua modul dieksekusi, dan penggunaannya tergantung pada bendera yang ditentukan dalam konfigurasi malware.
Tabel di bawah ini merangkum nama masing-masing modul dan tujuannya:
HijackLoader melakukan loop melalui struktur ini dan mengubah setiap nama modul menjadi hash menggunakan algoritma khusus. Setelah kecocokan untuk modul “ti64” ditemukan, program menghitung sebuah pointer ke kode modul tersebut dengan menjumlahkan offset data ke basis dari module data array. Pointer ini kemudian dikembalikan dan digunakan sebagai referensi ke shellcode dari “ti64".
Selanjutnya, malware melakukan operasi lubang DLL lain untuk menyuntikkan kode shell modul “ti64". Target adalah DLL yang ditentukan dalam konfigurasi yang didekripsi sebelumnya, yang dalam hal ini adalah pla.dll.
Nama Modul
Hash
Tujuan
AVDATA
0x78B783CA
Berisi hash proses terkait produk keamanan
ESAL
0x757C9405
Membersihkan data dalam memori dari hijackloader dan mengeksekusi payload akhir
ESLDR
0xE7794E15
Digunakan untuk menyuntikkan dan mengeksekusi shellcode yang terkait dengan HijackLoader
ESWR
0x93EB1CB1
Menghapus data shellcode dan mengeksekusi modul rshell
FIXED
0x699D0C82
File PE yang sah digunakan untuk menyuntikkan kode ke dalam prosesnya
Peluncur LDR64
0xF4F141C2
Mendekripsi file konfigurasi yang disimpan pada disk
modCreateProcess
0x696F778F
Digunakan untuk mengeksekusi file
modTask
0x3115355E
Menciptakan persistensi menggunakan tugas terjadwal
modUAC
0xC64EBFDA
Digunakan untuk eskalasi hak istimewa
modWriteFile
0xFCE82FC1
Menangani pembuatan file pada disk
rshell
rshell64
0x74984889
Mengeksekusi muatan akhir
ti
ti64
0x3EE477F1
Berfungsi sebagai shellcode utama yang mengeksekusi semua modul lainnya
TinyCallProxy
0x455CBBC3
Bertindak sebagai proksi untuk menjalankan panggilan API
tinystub
0x4EACE798
Berisi file eksekusi dummy, yang digunakan untuk menambal selama proses eksekusi payload akhir
tinyutilitymodule.dll
0xA1D724FC
Mengganti header PE dari file tertentu dengan byte nol
SM
0xD8222145
Berisi nama DLL sistem yang digunakan dalam tumpukan spoofing atau injeksi shellcode
COPYLIST
0x1AE7700A
Daftar nama file untuk disalin atau dihapus
CUSTOMINJECT
0x6703F815
Berisi file yang dapat dieksekusi yang sah yang digunakan untuk menyuntikkan kode ke dalam memori prosesnya. Proses ini dibuat di jalur khusus yang ditentukan oleh modul CUSTOMINJECTPATH
CUSTOMINJECTPATH
0x192A4446
Berisi jalur file yang digunakan untuk membuat file yang sah di modul CUSTOMINJECT
X64L
0xCB5B9F3F
Modul yang disuntikkan ke dalam proses untuk berfungsi sebagai proksi injeksi
WDUACDATA
0x4D75088D
Berisi string yang digunakan untuk menjalankan perintah melalui cmd
WDDATA
0xB718A6AE
Berisi perintah PowerShell untuk menambahkan pengecualian Windows Defender Antivirus
PERSDATA
0xA2E0AB5D
Berisi konfigurasi yang digunakan oleh modul ModTask untuk membuat tugas terjadwal
MUTEX
0x1999709F
Berisi nama mutex yang akan diperiksa
Modul MoDuac, mirip dengan modul lain, menggunakan TinyCallProxy untuk memanggil API. Jika DWORD pertama dari modul UACDATA adalah 2, modul tersebut menggunakan “runas” untuk meningkatkan hak istimewanya. Jika tidak, antarmuka CMSTPLUA COM digunakan untuk melewati UAC.
Dalam beberapa varian, HijackLoader menggunakan teknik yang disebut “tumpukan spoofing“untuk menutupi asal API dan panggilan sistem. Ini dilakukan dengan menggunakan base pointer register (EBP) untuk menavigasi tumpukan, mengikuti rantai pointer EBP untuk mengambil alamat kembali dari setiap bingkai tumpukan. Jika alamat pengirim tidak ada di dalam.text bagian dari ntdll.dll atau kernelbase.dll, HijackLoader menyimpannya untuk nanti. Proses ini diulang sampai tumpukan limit tercapai atau sampai tiga alamat kembali yang berurutan ditemukan di dalam pustaka sistem tersebut.
Selanjutnya, program melakukan pemalsuan tumpukan panggilan dengan menimpa alamat kembali yang asli dan valid menggunakan alamat palsu. Setiap alamat palsu dibuat dengan memilih ekspor acak dari DLL yang ditentukan oleh modul SM (dalam kasus ini, dcd9.dll) dan menambahkan offset acak, untuk memastikan penunjuk akhir berada di dalam bagian .text modul tersebut. Heaven's Gate kemudian digunakan untuk melakukan syscall. Segera setelah panggilan selesai, alamat tumpukan asli dipulihkan.
Varian yang lebih baru, bagaimanapun, menggunakan teknik yang berbeda. Alih-alih spoofing tumpukan, HijackLoader memuat target DLL yang ditentukan oleh modul SM melalui LoadLibraryW(). Kemudian menyimpan kode dari offset acak di dalam DLL itu ke buffer sementara dan menggantinya dengan shellcode modul TinyCallProxy64 , yang dirancang untuk memanggil API yang ditentukan. Setelah panggilan selesai, kode asli yang bersih dipulihkan.
HijackLoader menggunakan teknik ini untuk sejumlah fungsi tertentu yang kemungkinan akan dipantau oleh perangkat lunak AV, seperti ZWProtectVirtualMemory dan Zw GetContextThread.
Teknik
Deskripsi
Pemeriksaan anti-debugging berbasis waktu
Menggunakan teknik penghindaran berbasis waktu dengan mengukur latensi instruksi cpuid. Instruksi cpuid dibungkus dengan rdtsc di dalam sebuah loop, dan jika waktu eksekusinya melebihi ambang batas tertentu, program mendeteksi keberadaan debugger atau mesin virtual.
Pemeriksaan Hypervisor
Melakukan pengecekan anti-VM standar dengan mengeksekusi instruksi cpuid dan memeriksa “hypervisor bit” (bit ke-31) pada register ECX yang dikembalikan. Jika bit ini diatur ke 1, langkah ini menunjukkan adanya hypervisor.
Pemeriksaan ID Vendor
Melakukan pemeriksaan anti-VM dengan menanyakan daun informasi hypervisor (0x40000000). Nilai pengembalian di EAX yang lebih besar dari atau sama dengan 0x40000000 menunjukkan adanya daun CPUID spesifik hipervisor aktif.
Memeriksa total RAM
Melakukan pemeriksaan anti-sandbox dengan menanyakan total RAM fisik. Ini memanggil ntQuerySystemInformation untuk menghitung total memori dalam gigabyte (dengan menggeser kanan jumlah byte sebesar 30) dan berakhir jika Hasil di bawah 4GB.
Memeriksa jumlah prosesor
Melakukan pemeriksaan anti-sandbox dengan menanyakan jumlah inti CPU. Proses ini memanggil ntQuerySystemInformation untuk mendapatkan NumberOfProcessors dan membandingkannya dengan nilai yang ditentukan dalam konfigurasi modul ANTIVM.
Pemeriksaan nama pengguna
Membandingkan nama pengguna saat ini dengan nilai yang ditentukan dalam modul ANTIVM.
Pemeriksaan nama komputer
Memeriksa apakah nama komputer hanya terdiri atas angka.
Memeriksa direktori kerja saat ini
Memeriksa apakah jalur modul saat ini ada di desktop.
Pemeriksaan anti-virtualisasi yang gagal Hasil penghentian proses melalui panggilan ke ZwTerminateProcess().
Rutinitas unhooking membandingkan bagian .text dari ntdll.dll yang sedang dimuat dengan salinan bersih yang dipetakan. Rutinitas ini memindai instruksi call (0xE8) dan jmp (0xE9), dan mendeteksi adanya hook apabila jenis instruksi atau alamat tujuannya berbeda antara kedua versi. Jika sebuah hook ditemukan, malware akan menambal ntdll.dll di memori dengan memulihkan byte asli yang bersih.
Mekanisme persistensi HijackLoader juga dikendalikan oleh konfigurasinya. Perilaku ditentukan oleh bendera:
Selain bendera ini, HijackLoader dapat membuat mekanisme persistensi lain dengan memeriksa modul PERSDATA . Modul ini berisi data konfigurasi yang diperlukan, seperti nama tugas, untuk membuat tugas terjadwal kedua.
Jenis Injeksi
Deskripsi
Jika file yang akan disuntikkan adalah DLL atau flag injeksi kurang dari 0x3
payload akhir akan dijalankan di bawah proses yang sama, sehingga muatan DLL akan dipetakan di DLL berlubang.
Jika muatan akhir bukan file .NET/CLR, flag injeksi 0x20 salah dan 0x80 benar
Menyembunyikan payload rshell di PE tinystub palsu menggunakan transaksi NTFS yang dirolled-back. Kemudian, PE yang disembunyikan tersebut dipetakan ke dalam proses yang ditangguhkan (FIXED), di mana modul ESWR membajak konteks utas utama untuk mengeksekusi kode rshell.
Jika muatan akhir bukan file .NET/CLR, flag injeksi 0x20 dan 0x80 keduanya salah
Modul FIXED dijatuhkan ke disk dan dibuat sebagai proses yang ditangguhkan. Modul ESWR kemudian digunakan untuk memicu eksekusi pay load rshell dalam proses FIXED.
Bendera injeksi 0x100 diatur ke benar dan 0x20 salah
Menyuntikkan rshell ke dalam sistem yang sah yang ditangguhkan yang dapat dieksekusi (misalnya, MSBuild.exe) ditemukan dengan mengurai header .NET untuk jalur CLR. Payload tersebut ditambal di dalam memori sebelum dieksekusi melalui thread context hijacking, serta menghapus header PE miliknya sendiri.
Bendera injeksi 0x4 dan 0x80 keduanya benar.
Secara kondisional modul FIXED dilepas, lalu menyimpan payload rshell ke dalam file translasional yang dipulihkan kembali (tinystub). Payload tersebut disuntikkan ke dalam proses FIXED yang ditangguhkan melalui pemetaan bagian. Eksekusi dipicu melalui pembajakan konteks utas, diikuti dengan menghapus header PE secara opsional.
Bendera injeksi 0x4 benar dan 0x80 salah.
HijackLoader meluncurkan proses yang ditangguhkan, membuat dan memetakan bagian memori baru langsung di dalamnya, dan kemudian menulis modul rshell yang ditambal ke bagian ini. Eksekusi dipicu dengan membajak konteks utas utama untuk menjalankan kode rshell.
Bendera injeksi 0x4 salah dan 0x10 benar.
Melakukan Proses Hollowing dengan meluncurkan modul FIXED, menghapus bagian memori utamanya, dan kemudian menyalin dalam payload. Proses ini menulis header “MZ” dalam dua panggilan terpisah. Akhirnya, ia menyuntikkan modul rshell yang ditambal, memodifikasi PEB, dan secara opsional menghapus header PE payload.
Jenis injeksi diatur ke 4
Menyuntikkan muatan utama dan modul rshell melalui pemetaan bagian. Bagian dibuat dan diisi secara lokal dengan rshell dan payload yang ditambal, kemudian dipetakan ke dalam proses target yang ditangguhkan (biner asli sistem atau modul CUSTOMINJECT). Eksekusi dipicu dengan membajak konteks utas utama untuk menunjuk ke titik masuk rshell.
Pengguna di wilayah LATAM semakin menjadi target email yang menyamar sebagai pemerintah atau entitas peradilan, dengan tema yang sering menciptakan rasa urgensi. X-Force mengamati kampanye yang secara rutin melibatkan tautan tertanam atau lampiran ZIP yang mengarahkan korban ke pengunduh berbahaya. Antara Agustus dan Oktober 2025, X-Force mengamati beberapa email yang menargetkan pengguna yang kemungkinan tinggal di Kolombia dengan email meniru kantor Jaksa Agung Kolombia dengan unduhan dokumen resmi. Hijackloader adalah malware modular dengan mekanisme penghindaran dan persistensi, terutama dikirimkan kepada pengguna sebagai file arsip ZIP atau RAR. Arsip berisi DLL berbahaya yang di-sideload dan digunakan untuk mengirimkan muatan tambahan. Email ini, kemungkinan merupakan bagian dari kampanye tunggal, penting karena para aktor menggunakan Hijackloader untuk mengirimkan PureHVNC RAT, kombinasi yang sebelumnya tidak diamati oleh X-Force.
Indikator
Jenis Indikator
Konteks
troquelesmyj[@]gmail.com
Email pengirim
nuevos777[.]duckdns[.]org
Domain
Domain C2
7octubredc[.]duckdns[.]org
Domain
Domain C2
dckis13[.]duckdns[.]org
Domain
Domain C2
dckis7[.]duckdns[.]org
Domain
Domain C2
enviopago[.]mysynology[.]net
Domain
Domain C2
maximo26[.]duckdns[.]org
Domain
Domain C2
sofiavergara[.]duckdns[.]org
Domain
Domain C2
hxxps[:]//drive[.]google[.]com
URL
SVG Host
hxxps[:]//drive[.]google[.]com/
URL
SVG Host
e7120d45ee357f30cb602c0d93
SHA256
zip
7e64102405459192813541448c8
SHA256
rar
14becb3a9663128543e1868d09
SHA256
Hijackloader
57c49cff3e71bc75641c78a5a72d
SHA256
Hijackloader
7c3d9ad3f1bd890e3552dc6709
SHA256
Hijackloader
ce42377d3d26853fd1718f69341
SHA256
Hijackloader
a0e4979b4e4a706286438d48f
SHA256
Hijackloader
6d93a486e077858b75eb814e
SHA256
Hijackloader
bdca9849d7263d508b7ed4db
SHA256
Hijackloader
1ae61edf35127264d329b7c0e2
SHA256
Hijackloader
2ec31a8a36d73fa8354a7ac0c
SHA256
Hijackloader
776bbaa44c7788e0ccd5945
SHA256
Hijackloader
9e9997b54da0c633ffcf0a4fb
SHA256
Hijackloader
b2f733b67f1ef06d9e5ce76d3
SHA256
Hijackloader
c93e70d20ba2948a6a8a013
SHA256
Hijackloader
d550a2a327394148c0c3d05
SHA256
Hijackloader
e668ca17fcdfa818aac35f1206
SHA256
Hijackloader
fe6d0ee45a70359008b2916
SHA256
Hijackloader
977f2f18ff13c93406c5702f83
SHA256
Hijackloader
768ca38878c5bb15650343ce
SHA256
Hijackloader
47245b7d2d8cb6b92308deb
SHA256
Hijackloader
4484b0ac51536890301a0e6
SHA256
Hijackloader
0113d9f3d93069a29458b3b4
SHA256
Hijackloader
22d474e729d600dcd84ce139
SHA256
Hijackloader
2cbfc482e27a2240a48d2fb6f
SHA256
Hijackloader
96ee786c5b6167c0f0f770efba
SHA256
Hijackloader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
