Nel giugno 2025, i ricercatori di IBM X-Force hanno scoperto un attore delle minacce allineato alla Cina, Hive0154, che diffondeva malware Pubload con documenti e nomi di file esca mirati alla comunità tibetana. La disputa sulla sovranità tibetana è spesso invocata dai gruppi di minaccia cinesi nelle loro operazioni informatiche, e l'ultima campagna coincide con le attività che precedono un evento importante per la comunità tibetana, il 90° compleanno del Dalai Lama.
Le diverse esche osservate presentano le seguenti caratteristiche relative alla comunità tibetana:
Hive0154 è un affermato attore delle minacce allineato alla Cina con un ampio arsenale di malware, tecniche coerenti e attività ben documentate negli ultimi anni. Il gruppo è composto da diversi sottogruppi e sferra attacchi informatici contro organizzazioni pubbliche e private, tra cui think tank, gruppi politici, agenzie governative e singoli individui. L'osservazione di X-Force sull'uso da parte del gruppo di molteplici loader di malware personalizzati, backdoor e famiglie di worm USB ne dimostra le funzionalità avanzate. L'attività di Hive0154 si sovrappone ad attori delle minacce pubblicamente riportati come Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris ed Earth Preta.
X-Force ha precedentemente raccontato in dettaglio un'attività estesa attribuita a un sottocluster di Hive0154 che ha preso di mira Stati Uniti, Filippine, Pakistan e Taiwan in una sospetta campagna di spionaggio dalla fine del 2024 all'inizio del 2025. Il gruppo utilizza archivi trasformati in armi provenienti da e-mail di spear phishing per prendere di mira entità tra cui il governo, i militari e il personale diplomatico delle Filippine, degli Stati Uniti e del Pakistan. Le e-mail di phishing, gli archivi e i nomi di file dannosi utilizzano riferimenti a vari argomenti geopolitici, pensati appositamente per un pubblico specifico, al fine di suscitare un maggiore interesse nei destinatari. Le e-mail includono comunemente URL di Google Drive che scaricano archivi ZIP o RAR armati se il destinatario clicca sul link.
Gli archivi contengono un eseguibile benigno vulnerabile al sideloading delle DLL e una DLL Claimloader malevola. In genere, i file eseguibili vengono rinominati per indurre le vittime ad aprirli, innescando così immediatamente la catena di infezione. Il malware Claimloader stabilisce la persistenza, decripta il payload Pubload incorporato e lo inietta in memoria. Pubload scarica inoltre Pubshell, una backdoor leggera che facilita l'accesso immediato alla macchina tramite una shell inversa.
All'inizio della campagna (21 maggio), l'esca WPCT qui sotto probabilmente era un riferimento alla prossima convention tenutasi a Tokyo, in Giappone, dal 2 al 4 giugno.
Nome dell'esca
Paese mittente
Claimloader DLL SHA256
Data
(WPCT)-ICT&CTA_Conference
India
2bd60685299c62ab
21 maggio 2025
La convention si tiene solitamente in U.S. o in Europa e per la prima volta è stata ospitata in Giappone. In totale, erano presenti 142 parlamentari e rappresentanti di 29 paesi, inclusi membri parlamentari di Belgio e Giappone. L'ambasciata cinese in Giappone ha emesso una ferma condanna per il coinvolgimento nella convention dell'Amministrazione Centrale Tibetana, nota anche come Governo tibetano in esilio. La convenzione ha portato alla Dichiarazione di Tokyo, che condanna la repressione del governo cinese nella regione del Tibet e chiede una legislazione internazionale per salvaguardare la libertà culturale e religiosa tibetana. I ricercatori di X-Force hanno scoperto la campagna Hive0154 ideando diverse esche prima e dopo la convention.
Dopo la convention, sono state rilasciate diverse dichiarazioni, tra cui i Wise Action Plans on Tibet. Hive0154 l'ha probabilmente copiati dal sito web e inseriti in un documento Microsoft Word (DOCX) benigno all'interno di un archivio armato. L'archivio contiene inoltre articoli copiati direttamente da diversi siti web tibetani (qui e qui) in relazione alla convention, oltre a foto autentiche della convention. La presenza di articoli e foto legittime tra gli eseguibili armati con gli stessi nomi potrebbe ingannare le vittime, facendo in modo che aprano accidentalmente uno dei file EXE e inneschino l'infezione inconsapevolmente.
"9th WPCT Region-Wise Action Plans on Tibet.exe":
"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":
Photos from the convention used as lure: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"
In un'altra campagna, X-Force ha scoperto altri file dannosi a tema tibetano. Questi fascicoli riportano nomi con argomenti di interesse per la comunità tibetana, come la formazione bilingue in Tibet o il titolo di un libro recentemente pubblicato dal Dalai Lama. La scelta di tali argomenti è stata probabilmente studiata per invogliare i destinatari a essere ricettivi e a cliccare sul file. È da notare che gli esempi relativi al Tibet sono stati inviati dall'India, dove attualmente opera il governo in esilio, e questo suggerisce che i destinatari dei file potrebbero averli inviati a VirusTotal. In una campagna parallela, X-Force ha scoperto un file che probabilmente aveva come bersaglio la Marina degli Stati Uniti, e che potenzialmente discuteva di riunioni di gruppi di lavoro in corso tra la Marina degli Stati Uniti e altre parti.
Nome dell'esca
Paese mittente
Claimloader DLL SHA256
Data
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
Stati Uniti
c80dfc678570bde7c
17 aprile 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)
India
93f1fd31e197a58b03c
26 maggio 2025
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
India
3e7384c5e7c5764258
28 maggio 2025
(USPACFLT) Working_Group_
Stati Uniti
8cd4324e1e764aafba
9 giugno 2025
"སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe" (translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): Il tema è di grande importanza per la comunità tibetana e l'assimilazione culturale in Tibet è stata sottolineata da Human Rights Watch nel suo report.
"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": Si tratta di un riferimento a un libro pubblicato dal leader tibetano in esilio, il Dalai Lama, nel marzo 2025. Il Dalai Lama scrive del suo dialogo con i leader cinesi riguardo all'indipendenza del Tibet.
"DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe": Questo fascicolo potrebbe fare riferimento all'accordo minerario della Repubblica Democratica del Congo (RDC) con gli Stati Uniti e agli sforzi per ottenere il suo sostegno a tale accordo dopo aver osservato l'Ucraina raggiungere un accordo simile con gli Stati Uniti. A giugno 2025, la RDC sta per finalizzare l'accordo con gli Stati Uniti in cambio di assistenza militare e diplomatica contro i ribelli dell'M23 sostenuti dal vicino Ruanda.
"(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe": Questo potrebbe essere un riferimento alla Flotta del Pacifico della Marina degli Stati Uniti e alle sue attività di sensibilizzazione verso i paesi del'area del Pacifico. La flotta fornisce forze navali al Comando Indo-Pacifico degli Stati Uniti e può essere chiamata in causa in caso di conflitto a Taiwan.
Claimloader è una famiglia di caricatori che si è evoluta notevolmente negli ultimi anni. Contiene un payload di shellcode criptato, che viene decrittato e iniettato in fase di runtime. Il nostro blog precedente fornisce dettagli più tecnici sulle varianti precedenti utilizzate da Hive0154.
Alla prima esecuzione, Claimloader inizia creando un nuovo oggetto mutex per assicurarsi che venga eseguita solo una singola istanza di Claimloader. Successivamente sposta se stesso e l'EXE dei processi utilizzati per il sideloading delle DLL in una nuova directory con un nuovo nome, come ad esempio:
Successivamente, Claimloader utilizza l'API SHSetValueA() per stabilire la persistenza dell'EXE tramite una chiave di registro qui sotto:
In seguito a questa azione, l'EXE viene eseguito ogni volta che l'utente corrente accede al computer. Il processo viene eseguito con un argomento predefinito, come "Licenza", utilizzato per invocare la funzionalità principale di Claimloader.
Nella seconda esecuzione di Claimloader con l'argomento specificato, l'ultima variante di Claimloader inizia a decifrare un payload embedded tramite l'algoritmo TripleDES. Questo algoritmo è stato osservato solo nelle varianti di Claimloader a partire dalla fine di aprile 2025. Le varianti aggiornate utilizzano anche nomi API cifrati XOR e API native LdrLoadDll() e LdrGetProcedureAddress() per risolvere le importazioni in modo dinamico.
Dopo cinque secondi di sospensione, Claimloader alloca un nuovo buffer eseguibile in memoria e copia il payload shellcode al suo interno. Il malware rimane inattivo per altri 10 secondi e poi richiama le API GetDC() e EnumFontsW(), utilizzate per eseguire il payload in memoria passando il suo punto di ingresso come funzione di callback.
Il payload shellcode di Pubload non ha subito aggiornamenti dall'ultimo report. Contiene una semplice routine di auto-decrittazione prima di eseguire la funzionalità principale. Pubload è una semplice backdoor in grado di scaricare payload shellcode crittografati, che vengono iniettati nella memoria. Uno dei primi payload è il modulo Pubshell, che implementa una shell inversa per facilitare l'accesso immediato alla macchina infetta.
Hive0154 rimane un attore delle minacce altamente capace, con molteplici sottocluster attivi e cicli di sviluppo frequenti. X-Force valuta con grande fiducia che gruppi allineati con la Cina come Hive0154 continueranno a perfezionare il loro vasto arsenale di malware e a prendere di mira organizzazioni pubbliche e private in tutto il mondo. Le entità a rischio di attività Hive0154 devono mantenere un elevato livello di sicurezza difensiva e rimanere vigili sulle tecniche menzionate in questo report.
Indicatore
Tipo di indicatore
Contesto
2bd60685299c62abe500fe80e
SHA256
Claimloader DLL
c80dfc678570bde7c19df21877a1
SHA256
Claimloader DLL
93f1fd31e197a58b03c6f5f774c138
SHA256
Claimloader DLL
3e7384c5e7c5764258947721c77
SHA256
Claimloader DLL
8cd4324e1e764aafba4ea0394a8
SHA256
Claimloader DLL
7979686bf73c2988ab5d57f9605
SHA256
Archivio armato
ea991719885b2fe91502218ff3be1
SHA256
Archivio armato
6e408aada775eaf19c524792344c
SHA256
Archivio armato
57770ede7015734e2d881430423b
SHA256
Archivio armato
fb33f222b3d4d5edc9b743e6428
SHA256
Archivio armato
218.255.96[.]245:443
IPv4
Server Pubload C2
IBM X-Force Premier Threat Intelligence è ora integrato con OpenCTI di Filigran, offrendo informazioni fruibili sulle minacce e molto altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa l'X-Force OpenCTI Connector per migliorare la rilevazione e la risposta, rafforzando la tua cybersecurity con l'esperienza di IBM X-Force. Ottieni subito una versione di prova di 30 giorni di X-Force Premier Threat Intelligence!
Scopri le minacce più recenti e rafforza le tue difese cloud con il report X-Force Cloud Threat Landscape.
Scopri come affrontare le sfide e sfruttare la resilienza dell'AI generativa nella cybersecurity.
Proteggi la tua organizzazione dalle minacce globali con il team di hacker, responder, ricercatori e analisti esperti di minacce di IBM X-Force.
Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.
Proteggi il tuo ambiente con le soluzioni complete di difesa dalle minacce mobile di IBM MaaS360.
Adotta soluzioni complete di gestione delle minacce, proteggendo in modo esperto la tua azienda dagli attacchi informatici.