Laporan Analisis Ancaman X-Force: LATAM dimasukkan ke dalam pengiriman PureHVNC

diterbitkan 28 Oktober 2025
Tampilan samping tangan mengetik pada keyboard laptop di ruangan yang terang biru

Penyusun

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

Pada periode Agustus hingga Oktober 2025, IBM® X-Force mendeteksi sejumlah email yang diarahkan kepada calon korban berbahasa Spanyol di Kolombia, menggunakan topik yang menyinggung lembaga Kejaksaan Agung negara tersebut. Pesan-pesan itu dirancang untuk memancing penerima mengunduh “dokumen resmi” dari sistem informasi yudisial. Tindakan tersebut memicu proses infeksi yang mengeksekusi Hijackloader, yang selanjutnya mengantarkan pada pengaktifan Remote Access Trojan (RAT) PureHVNC.

Jenis ancaman

  • Phishing

Latar Belakang

Antara Agustus dan Oktober 2025, X-Force mengamati beberapa email yang menargetkan pengguna yang kemungkinan tinggal di Kolombia dengan email meniru kantor Jaksa Agung Kolombia dengan unduhan dokumen resmi. Email bertujuan untuk menggunakan Hijackloader untuk mengirimkan beberapa muatan, termasuk PureHVNC. Hijackloader sendiri belum banyak digunakan dalam kampanye yang menargetkan pengguna di Amerika Latin (LATAM), dan sebelumnya, tidak ada kampanye yang dapat diamati oleh X-Force di mana pengguna LATAM telah ditargetkan untuk mengirimkan PureHVNC. Pada tahun 2024, ada detail Hijackloader yang digunakan untuk memuat RemcosRAT dalam kampanye yang menargetkan pelanggan CrowdStrike, kemungkinan dari negara-negara LATAM (berdasarkan nama file dan instruksi Spanyol). Pengiriman PureHVNC RAT menarik karena X-Force sebelumnya tidak mengamati kampanye di mana PureHVNC dikirimkan ke pengguna berbahasa Spanyol. PureHVNC RAT adalah bagian dari seperangkat alat yang dijual oleh PureCoder. Alat berbahaya siap dijual di dark web di forum bawah tanah, serta di Telegram.

Analisis

Ringkasan

Pengguna disajikan dengan email yang mengaku sebagai korespondensi resmi terkait dengan kantor Jaksa Agung Kolombia. Email tersebut menyatakan bahwa gugatan telah diajukan oleh mantan karyawan, dan sedang diproses di pengadilan perburuhan. Terlampir pada email adalah file SVG, yang dibuka oleh korban di Google Drive. Dalam kebanyakan kasus, pratinjau dokumen terlihat dan siap untuk diunduh dengan mengklik tombol unduh. Dalam satu contoh, korban disajikan dengan “Tidak dapat melihat file” dan tombol unduh, yang membuka file di Google Drive. Bagaimanapun, saat berada di Google Drive, mengklik di mana saja pada dokumen akan mengunduh file arsip ZIP, dan korban sekarang disajikan dengan halaman “Unduh Lengkap” yang berisi kata sandi seperti “KC4SX87”. File ZIP tersebut berisi beberapa file tambahan, termasuk sebuah file eksekusi yang memerlukan kata sandi agar dapat dijalankan jika diklik oleh pengguna. Mengklik file EXE akan memulai rantai infeksi, di mana Hijackloader digunakan untuk menerapkan beberapa muatan yang berbeda, termasuk PureHVNC.

tangkapan layar dari contoh email untuk kampanye phishing ini
Gambar 1 Contoh email
Contoh halaman unduhan
Gambar 2 Contoh halaman unduhan
Pengunduhan SVG yang menyamar sebagai Consulta de Procesos Nacional Unificada
Gambar 3 Unduhan SVG
Pratinjau unduhan dokumen SVG untuk Portal de Consulta Ciudadana palsu
Gambar 4 Pratinjau unduhan dokumen SVG
Unduhan SVG memalsukan Portal Konsultasi Ciudadana
Gambar 5 Unduhan SVG
tangkapan layar unduhan selesai dan kata sandi
Gambar 6 Unduh lengkap dan kata sandi
Konten arsip ZIP
Gambar 7 Isi arsip ZIP
Entri kata sandi untuk file EXE
Gambar 8 Entri kata sandi untuk file EXE

Contoh rantai infeksi untuk PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]Org

Tahap 1 malware: pemuatan samping DLL

Hijackloader menggunakan teknik yang disebut side-loading DLL, yang menyalahgunakan urutan pencarian yang digunakan Windows untuk menemukan pustaka yang diperlukan untuk mengeksekusi DLL berbahaya. Hijackloader menggunakan javaw.exe yang sahfile yang telah diganti namanya dengan nama bertema yudisial (02 BOLETA FISCAL.exe). Karena salah satu dependensi javaw.exe adalah JLI.dll, Hijackloader menempatkan versi modifikasi dari JLI.dll di direktori yang sama. Ketika javaw.exe yang diganti namanya diluncurkan, sistem operasi juga memuat DLL berbahaya dari direktori lokal.

Fungsi utama dari JLI.dll berbahaya adalah memuat payload tahap ke-2, MSTH7EN.dll. Proses ini dilakukan dengan memanggil API LoadLibraryW () , yang memuat MSTH7EN.dll ke dalam ruang alamat proses. Panggilan API mengembalikan alamat dasar gambar dari DLL yang baru dimuat. Alamat ini kemudian ditambahkan ke offset tertentu untuk menghitung titik masuk kode berbahaya di MSTH7EN.dll.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

Tahap malware 2: Fase pemuatan

Payload tahap kedua dimulai dengan inisialisasi. Untuk menghindari deteksi, malware ini memuat dan menyelesaikan semua pustaka serta API yang diperlukan secara dinamis. Setelah selesai, program memverifikasi bahwa direktori kerja saat ini sesuai dengan lokasi Hijackloader, untuk memastikan payload tahap ketiga dapat direferensikan dan dimuat dengan benar.

Payload tahap ketiga berisi konfigurasi malware terenkripsi dengan komponen berikut:

  • Kunci untuk mendekripsi konfigurasi
  • Ukuran konfigurasi terenkripsi
  • Data konfigurasi terenkripsi

Setelah dekripsi, konfigurasi malware berisi informasi, seperti berikut:

  • Nama DLL untuk melakukan pelonggaran DLL
  • Ukuran shellcode untuk pengosongan DLL
  • Offset kode berbahaya dalam shellcode
  • Hash nama proses yang, jika ditemukan, akan menunda eksekusi malware
  • Empat byte pertama dari shellcode, digunakan untuk validasi
  • String pencarian yang digunakan untuk menemukan awal shellcode
tangkapan layar konfigurasi malware terenkripsi
Gambar 9 Konfigurasi malware terenkripsi
tangkapan layar dari konfigurasi malware yang didekripsi
Gambar 10 Konfigurasi malware yang didekripsi

Kode shell kemudian dimuat ke dalam vssapi.dll, yang merupakan DLL yang ditentukan dalam konfigurasi malware. Ini dilakukan dengan memanggil VirtualProtect () untuk mengubah perlindungan memori  bagian.text DLL menjadi PAGE_EXECUTE_READWRITE. Akhirnya, shellcode disalin ke alamat yang dapat ditulis ini, dan aliran eksekusi ditransfer ke sana.

Shellcode bertindak sebagai loader, tetapi pertama-tama, kode ini meng-hash nama proses yang sedang berjalan di sistem dan membandingkannya dengan nilai yang ditentukan dalam konfigurasi malware. Jika kecocokan ditemukan, malware menggunakan API ntDelayExecution () untuk menghentikan eksekusi sendiri.

Selanjutnya, program membaca isi dari Plagkeg.zk. Isi file ini adalah konfigurasi malware terenkripsi lainnya dan modul HijackLoader. Data dibagi menjadi beberapa bagian, dengan potongan awal berisi informasi berikut:

  • Ukuran data terenkripsi
  • Penanda (“IDAT”)
  • Nilai (0xC6A579EA) digunakan untuk memeriksa byte awal shellcode
  • Kunci untuk mendekripsi data

Potongan berikutnya mengikuti struktur ini:

  • Ukuran potongan shellcode
  • Penanda (“IDAT”)
  • Byte terenkripsi

Untuk merakit potongan-potongan ini, HijackLoader mengulangi melalui data terenkripsi mencari “???? Pola IDAT“, di mana tanda tanya bertindak sebagai wildcard. Setelah kecocokan ditemukan, ia memeriksa apakah empat byte segera mengikuti pola sama dengan 0xC6A579 EA. Ini menegaskan bahwa potongan awal telah ditemukan, yang penting karena berisi ukuran total shellcode dan kunci dekripsi. Jika nilainya cocok, HijackLoader menyimpan byte shellcode ke dalam buffer. Proses ini diulangi untuk setiap chunk berikutnya, di mana byte shellcode-nya ditambahkan ke buffer yang sama, hingga tidak ada lagi pola yang cocok ditemukan.

Setelah selesai, buffer yang berisi shellcode terenkripsi didekripsi menggunakan cipher XOR dan kemudian didekompresi menggunakan algoritma LZNT1. Hasilnya adalah struktur yang berisi berbagai informasi, seperti muatan akhir, struktur modul, dll.

Malware tahap 3: ti64 - modul utama

Fungsionalitas HijackLoader dibagi menjadi beberapa modul. Beberapa berisi kode yang dapat dieksekusi, sementara yang lain hanyalah informasi yang digunakan untuk referensi. Contohnya adalah modul COPYLIST, yang berisi daftar nama file yang terkait dengan varian HijackLoader ini. Sesuai laporan Trellix , beberapa varian HijackLoader mendukung hingga 40 modul, tetapi sampel yang dianalisis untuk laporan ini hanya mendukung 35. Tidak semua modul dieksekusi, dan penggunaannya tergantung pada bendera yang ditentukan dalam konfigurasi malware.

Tabel di bawah ini merangkum nama masing-masing modul dan tujuannya:

HijackLoader melakukan loop melalui struktur ini dan mengubah setiap nama modul menjadi hash menggunakan algoritma khusus. Setelah kecocokan untuk modul “ti64” ditemukan, program menghitung sebuah pointer ke kode modul tersebut dengan menjumlahkan offset data ke basis dari module data array. Pointer ini kemudian dikembalikan dan digunakan sebagai referensi ke shellcode dari “ti64".

Selanjutnya, malware melakukan operasi lubang DLL lain untuk menyuntikkan kode shell modul “ti64". Target adalah DLL yang ditentukan dalam konfigurasi yang didekripsi sebelumnya, yang dalam hal ini adalah pla.dll.

Nama Modul

Hash

Tujuan

AVDATA

0x78B783CA

Berisi hash proses terkait produk keamanan

ESAL
ESAL64

0x757C9405
0x6364A15B

Membersihkan data dalam memori dari hijackloader dan mengeksekusi payload akhir

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

Digunakan untuk menyuntikkan dan mengeksekusi shellcode yang terkait dengan HijackLoader

ESWR
ESWR64

0x93EB1CB1
0xAE2762

Menghapus data shellcode dan mengeksekusi modul rshell

FIXED

0x699D0C82

File PE yang sah digunakan untuk menyuntikkan kode ke dalam prosesnya

Peluncur LDR64

0xF4F141C2

Mendekripsi file konfigurasi yang disimpan pada disk

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

Digunakan untuk mengeksekusi file

modTask
modTask64

0x3115355E
0x9BFAF2D3

Menciptakan persistensi menggunakan tugas terjadwal

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

Digunakan untuk eskalasi hak istimewa

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

Menangani pembuatan file pada disk

rshell

rshell64

0x74984889
0x7B37E907

Mengeksekusi muatan akhir

ti

ti64

0x3EE477F1
0x2AB77DB8

Berfungsi sebagai shellcode utama yang mengeksekusi semua modul lainnya

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

Bertindak sebagai proksi untuk menjalankan panggilan API

tinystub
tinystub64

0x4EACE798
0x6E874E5A

Berisi file eksekusi dummy, yang digunakan untuk menambal selama proses eksekusi payload akhir

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

Mengganti header PE dari file tertentu dengan byte nol

SM

0xD8222145

Berisi nama DLL sistem yang digunakan dalam tumpukan spoofing atau injeksi shellcode

COPYLIST

0x1AE7700A

Daftar nama file untuk disalin atau dihapus

CUSTOMINJECT

0x6703F815

Berisi file yang dapat dieksekusi yang sah yang digunakan untuk menyuntikkan kode ke dalam memori prosesnya. Proses ini dibuat di jalur khusus yang ditentukan oleh modul CUSTOMINJECTPATH 

CUSTOMINJECTPATH

0x192A4446

Berisi jalur file yang digunakan untuk membuat file yang sah di modul CUSTOMINJECT 

X64L

0xCB5B9F3F

Modul yang disuntikkan ke dalam proses untuk berfungsi sebagai proksi injeksi

WDUACDATA

0x4D75088D

Berisi string yang digunakan untuk menjalankan perintah melalui cmd

WDDATA

0xB718A6AE

Berisi perintah PowerShell untuk menambahkan pengecualian Windows Defender Antivirus

PERSDATA

0xA2E0AB5D

Berisi konfigurasi yang digunakan oleh modul ModTask untuk membuat tugas terjadwal

MUTEX

0x1999709F

Berisi nama mutex yang akan diperiksa

Eskalasi hak istimewa

Modul MoDuac, mirip dengan modul lain, menggunakan TinyCallProxy untuk memanggil API. Jika DWORD pertama dari modul UACDATA adalah 2, modul tersebut menggunakan “runas” untuk meningkatkan hak istimewanya. Jika tidak, antarmuka CMSTPLUA COM digunakan untuk melewati UAC.

Penghindaran

Panggilan API tidak langsung

Dalam beberapa varian, HijackLoader menggunakan teknik yang disebut “tumpukan spoofing“untuk menutupi asal API dan panggilan sistem. Ini dilakukan dengan menggunakan base pointer register (EBP) untuk menavigasi tumpukan, mengikuti rantai pointer EBP untuk mengambil alamat kembali dari setiap bingkai tumpukan. Jika alamat pengirim tidak ada di dalam.text bagian dari ntdll.dll atau kernelbase.dll, HijackLoader menyimpannya untuk nanti. Proses ini diulang sampai tumpukan limit tercapai atau sampai tiga alamat kembali yang berurutan ditemukan di dalam pustaka sistem tersebut.

Selanjutnya, program melakukan pemalsuan tumpukan panggilan dengan menimpa alamat kembali yang asli dan valid menggunakan alamat palsu. Setiap alamat palsu dibuat dengan memilih ekspor acak dari DLL yang ditentukan oleh modul SM (dalam kasus ini, dcd9.dll) dan menambahkan offset acak, untuk memastikan penunjuk akhir berada di dalam bagian .text modul tersebut. Heaven's Gate kemudian digunakan untuk melakukan syscall. Segera setelah panggilan selesai, alamat tumpukan asli dipulihkan.

Varian yang lebih baru, bagaimanapun, menggunakan teknik yang berbeda. Alih-alih spoofing tumpukan, HijackLoader memuat target DLL yang ditentukan oleh modul SM melalui LoadLibraryW(). Kemudian menyimpan kode dari offset acak di dalam DLL itu ke buffer sementara dan menggantinya dengan shellcode modul TinyCallProxy64 , yang dirancang untuk memanggil API yang ditentukan. Setelah panggilan selesai, kode asli yang bersih dipulihkan.

HijackLoader menggunakan teknik ini untuk sejumlah fungsi tertentu yang kemungkinan akan dipantau oleh perangkat lunak AV, seperti ZWProtectVirtualMemory dan Zw GetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

Teknik

Deskripsi

Pemeriksaan anti-debugging berbasis waktu

Menggunakan teknik penghindaran berbasis waktu dengan mengukur latensi instruksi cpuid. Instruksi cpuid dibungkus dengan rdtsc di dalam sebuah loop, dan jika waktu eksekusinya melebihi ambang batas tertentu, program mendeteksi keberadaan debugger atau mesin virtual.

Pemeriksaan Hypervisor

Melakukan pengecekan anti-VM standar dengan mengeksekusi instruksi cpuid dan memeriksa “hypervisor bit” (bit ke-31) pada register ECX yang dikembalikan. Jika bit ini diatur ke 1, langkah ini menunjukkan adanya hypervisor.

Pemeriksaan ID Vendor

Melakukan pemeriksaan anti-VM dengan menanyakan daun informasi hypervisor (0x40000000). Nilai pengembalian di EAX yang lebih besar dari atau sama dengan 0x40000000 menunjukkan adanya daun CPUID spesifik hipervisor aktif.

Memeriksa total RAM

Melakukan pemeriksaan anti-sandbox dengan menanyakan total RAM fisik. Ini memanggil ntQuerySystemInformation untuk menghitung total memori dalam gigabyte (dengan menggeser kanan jumlah byte sebesar 30) dan berakhir jika Hasil di bawah 4GB.

Memeriksa jumlah prosesor

Melakukan pemeriksaan anti-sandbox dengan menanyakan jumlah inti CPU. Proses ini memanggil ntQuerySystemInformation untuk mendapatkan NumberOfProcessors dan membandingkannya dengan nilai yang ditentukan dalam konfigurasi modul ANTIVM.

Pemeriksaan nama pengguna

Membandingkan nama pengguna saat ini dengan nilai yang ditentukan dalam modul ANTIVM.

Pemeriksaan nama komputer

Memeriksa apakah nama komputer hanya terdiri atas angka.

Memeriksa direktori kerja saat ini

Memeriksa apakah jalur modul saat ini ada di desktop.

Pemeriksaan anti-virtualisasi yang gagal Hasil penghentian proses melalui panggilan ke ZwTerminateProcess().

Melepas NTDLL

Rutinitas unhooking membandingkan bagian .text dari ntdll.dll yang sedang dimuat dengan salinan bersih yang dipetakan. Rutinitas ini memindai instruksi call (0xE8) dan jmp (0xE9), dan mendeteksi adanya hook apabila jenis instruksi atau alamat tujuannya berbeda antara kedua versi. Jika sebuah hook ditemukan, malware akan menambal ntdll.dll di memori dengan memulihkan byte asli yang bersih.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

Persistensi

Mekanisme persistensi HijackLoader juga dikendalikan oleh konfigurasinya. Perilaku ditentukan oleh bendera:

  • Pintasan LNK (Bendera 1): Jika flag disetel ke 1, HijackLoader membuat file LNK yang menunjuk ke jalur yang dapat dieksekusi sendiri. Pintasan ini kemudian dipindah ke folder startup pengguna untuk memastikan eksekusi saat logon.
  • Tugas Terjadwal (Flag 3): Jika flag ditetapkan ke 3, maka akan membuat tugas terjadwal menggunakan modul modTask .

Selain bendera ini, HijackLoader dapat membuat mekanisme persistensi lain dengan memeriksa modul PERSDATA . Modul ini berisi data konfigurasi yang diperlukan, seperti nama tugas, untuk membuat tugas terjadwal kedua.

Metode injeksi

Jenis Injeksi

Deskripsi

Jika file yang akan disuntikkan adalah DLL atau flag injeksi kurang dari 0x3

payload akhir akan dijalankan di bawah proses yang sama, sehingga muatan DLL akan dipetakan di DLL berlubang.

Jika muatan akhir bukan file .NET/CLR, flag injeksi 0x20 salah dan 0x80 benar

Menyembunyikan payload rshell di PE tinystub palsu menggunakan transaksi NTFS yang dirolled-back. Kemudian, PE yang disembunyikan tersebut dipetakan ke dalam proses yang ditangguhkan (FIXED), di mana modul ESWR membajak konteks utas utama untuk mengeksekusi kode rshell.

Jika muatan akhir bukan file .NET/CLR, flag injeksi 0x20 dan 0x80 keduanya salah

Modul FIXED dijatuhkan ke disk dan dibuat sebagai proses yang ditangguhkan. Modul ESWR kemudian digunakan untuk memicu eksekusi pay load rshell dalam proses FIXED.

Bendera injeksi 0x100 diatur ke benar dan 0x20  salah

Menyuntikkan rshell ke dalam sistem yang sah yang ditangguhkan yang dapat dieksekusi (misalnya, MSBuild.exe) ditemukan dengan mengurai header .NET untuk jalur CLR. Payload tersebut ditambal di dalam memori sebelum dieksekusi melalui thread context hijacking, serta menghapus header PE miliknya sendiri.

Bendera injeksi 0x4 dan 0x80 keduanya benar.

Secara kondisional modul FIXED dilepas, lalu menyimpan payload rshell ke dalam file translasional yang dipulihkan kembali (tinystub). Payload tersebut disuntikkan ke dalam proses FIXED yang ditangguhkan melalui pemetaan bagian. Eksekusi dipicu melalui pembajakan konteks utas, diikuti dengan menghapus header PE secara opsional.

Bendera injeksi 0x4 benar dan 0x80 salah.

HijackLoader meluncurkan proses yang ditangguhkan, membuat dan memetakan bagian memori baru langsung di dalamnya, dan kemudian menulis modul rshell yang ditambal ke bagian ini. Eksekusi dipicu dengan membajak konteks utas utama untuk menjalankan kode rshell.

Bendera injeksi 0x4 salah dan 0x10 benar.

Melakukan Proses Hollowing dengan meluncurkan modul FIXED, menghapus bagian memori utamanya, dan kemudian menyalin dalam payload. Proses ini menulis header “MZ” dalam dua panggilan terpisah. Akhirnya, ia menyuntikkan modul rshell yang ditambal, memodifikasi PEB, dan secara opsional menghapus header PE payload.

Jenis injeksi diatur ke 4

Menyuntikkan muatan utama dan modul rshell melalui pemetaan bagian. Bagian dibuat dan diisi secara lokal dengan rshell dan payload yang ditambal, kemudian dipetakan ke dalam proses target yang ditangguhkan (biner asli sistem atau modul CUSTOMINJECT). Eksekusi dipicu dengan membajak konteks utas utama untuk menunjuk ke titik masuk rshell.

Kesimpulan

Pengguna di wilayah LATAM semakin menjadi target email yang menyamar sebagai pemerintah atau entitas peradilan, dengan tema yang sering menciptakan rasa urgensi. X-Force mengamati kampanye yang secara rutin melibatkan tautan tertanam atau lampiran ZIP yang mengarahkan korban ke pengunduh berbahaya. Antara Agustus dan Oktober 2025, X-Force mengamati beberapa email yang menargetkan pengguna yang kemungkinan tinggal di Kolombia dengan email meniru kantor Jaksa Agung Kolombia dengan unduhan dokumen resmi. Hijackloader adalah malware modular dengan mekanisme penghindaran dan persistensi, terutama dikirimkan kepada pengguna sebagai file arsip ZIP atau RAR. Arsip berisi DLL berbahaya yang di-sideload dan digunakan untuk mengirimkan muatan tambahan. Email ini, kemungkinan merupakan bagian dari kampanye tunggal, penting karena para aktor menggunakan Hijackloader untuk mengirimkan PureHVNC RAT, kombinasi yang sebelumnya tidak diamati oleh X-Force.

Rekomendasi

  • Aktifkan tampilan ekstensi file.
  • Periksa kebutuhan operasional untuk mengizinkan lalu lintas ke dan dari domain DuckDNS.
  • Berhati-hatilah dalam membuka lampiran email dan mengklik tautan yang disematkan dari sumber yang tidak tepercaya atau tidak dikenal.
  • Mencari proses, lalu lintas jaringan, dan IoC yang diperinci dalam laporan ini.
  • Instal, perbarui, dan konfigurasikan perangkat lunak keamanan titik akhir.
  • Memantau aturan titik akhir

Indikator kompromi

Indikator

Jenis Indikator

Konteks

troquelesmyj[@]gmail.com

Email

Email pengirim

nuevos777[.]duckdns[.]org

Domain

Domain C2

7octubredc[.]duckdns[.]org

Domain

Domain C2

dckis13[.]duckdns[.]org

Domain

Domain C2

dckis7[.]duckdns[.]org

Domain

Domain C2

enviopago[.]mysynology[.]net

Domain

Domain C2

maximo26[.]duckdns[.]org

Domain

Domain C2

sofiavergara[.]duckdns[.]org

Domain

Domain C2

hxxps[:]//drive[.]google[.]com
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

SVG Host

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

SVG Host

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

zip

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

rar

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

