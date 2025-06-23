Tag
Hive0154, alias Mustang Panda, sposta l'attenzione sulla comunità tibetana per implementare la backdoor Pubload

Vista posteriore di un uomo che lavora al computer alla scrivania, con monitor e attrezzatura oltre la scrivania

Autori

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

Riepilogo

Nel giugno 2025, i ricercatori di IBM X-Force hanno scoperto un attore delle minacce allineato alla Cina, Hive0154, che diffondeva malware Pubload con documenti e nomi di file esca mirati alla comunità tibetana. La disputa sulla sovranità tibetana è spesso invocata dai gruppi di minaccia cinesi nelle loro operazioni informatiche, e l'ultima campagna coincide con le attività che precedono un evento importante per la comunità tibetana, il 90° compleanno del Dalai Lama.

Le diverse esche osservate presentano le seguenti caratteristiche relative alla comunità tibetana:

  • La 9a Convenzione mondiale dei parlamentari sul Tibet (WPCT), tenutasi dal 02/06 al 04/06 a Tokyo, Giappone.
  • La politica di formazione della Cina nella Regione Autonoma del Tibet (TAR). L'argomento è di grande importanza per la comunità tibetana, e l'assimilazione culturale in Tibet è stata sottolineata da Human Rights Watch nel suo report
  • Il libro uscito a marzo 2025 Voice for the Voiceless, pubblicato dal leader tibetano in esilio, il Dalai Lama. Il libro parla del dialogo del Dalai Lama con i leader cinesi riguardo all'indipendenza del Tibet.

Risultati principali

  • L'attore delle minacce allineato alla Cina Hive0154 ha diffuso numerose esche di phishing in campagne mirate durante tutto il 2025 per implementare la backdoor di Pubload
  • Hive0154 elabora nomi di file che fanno riferimento a vari argomenti geopolitici, pensati per suscitare un maggiore interesse nei destinatari mirati
  • A partire dal maggio 2025, X-Force ha notato una maggiore attenzione per gli argomenti mirati alla comunità tibetana
  • Le campagne di phishing fanno riferimento alla 9ª Convenzione Mondiale dei Parlamentari sul Tibet (WPCT) tenutasi a Tokyo a giugno, alla politica di formazione della Cina nella Regione Autonoma del Tibet (TAR) e al libro del 2025 Voice for the Voiceless del Dalai Lama
Panoramica di Hive0154

Hive0154 è un affermato attore delle minacce allineato alla Cina con un ampio arsenale di malware, tecniche coerenti e attività ben documentate negli ultimi anni. Il gruppo è composto da diversi sottogruppi e sferra attacchi informatici contro organizzazioni pubbliche e private, tra cui think tank, gruppi politici, agenzie governative e singoli individui. L'osservazione di X-Force sull'uso da parte del gruppo di molteplici loader di malware personalizzati, backdoor e famiglie di worm USB ne dimostra le funzionalità avanzate. L'attività di Hive0154 si sovrappone ad attori delle minacce pubblicamente riportati come Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris ed Earth Preta.

Attività precedenti

X-Force ha precedentemente raccontato in dettaglio un'attività estesa attribuita a un sottocluster di Hive0154 che ha preso di mira Stati Uniti, Filippine, Pakistan e Taiwan in una sospetta campagna di spionaggio dalla fine del 2024 all'inizio del 2025. Il gruppo utilizza archivi trasformati in armi provenienti da e-mail di spear phishing per prendere di mira entità tra cui il governo, i militari e il personale diplomatico delle Filippine, degli Stati Uniti e del Pakistan. Le e-mail di phishing, gli archivi e i nomi di file dannosi utilizzano riferimenti a vari argomenti geopolitici, pensati appositamente per un pubblico specifico, al fine di suscitare un maggiore interesse nei destinatari. Le e-mail includono comunemente URL di Google Drive che scaricano archivi ZIP o RAR armati se il destinatario clicca sul link.

Esempio di e-mail di phishing Hive0154 da una campagna di aprile 2025.
Fig. 1: Esempio di e-mail di phishing di Hive0154 da una campagna di aprile 2025.

Gli archivi contengono un eseguibile benigno vulnerabile al sideloading delle DLL e una DLL Claimloader malevola. In genere, i file eseguibili vengono rinominati per indurre le vittime ad aprirli, innescando così immediatamente la catena di infezione. Il malware Claimloader stabilisce la persistenza, decripta il payload Pubload incorporato e lo inietta in memoria. Pubload scarica inoltre Pubshell, una backdoor leggera che facilita l'accesso immediato alla macchina tramite una shell inversa. 

Diagramma della catena di infezione di Pubload
Fig. 2: Catena di infezione Pubload

9a Convenzione mondiale dei parlamentari sul Tibet (WPCT)

All'inizio della campagna (21 maggio), l'esca WPCT qui sotto probabilmente era un riferimento alla prossima convention tenutasi a Tokyo, in Giappone, dal 2 al 4 giugno.

Nome dell'esca

 Paese mittente

 Claimloader DLL SHA256

 Data

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

 India

2bd60685299c62ab
e500fe80e9f03a627a1
567059ce213d7c0cc76
2fa32552d7

 21   maggio   2025

La convention si tiene solitamente in U.S. o in Europa e per la prima volta è stata ospitata in Giappone. In totale, erano presenti 142 parlamentari e rappresentanti di 29 paesi, inclusi membri parlamentari di Belgio e Giappone. L'ambasciata cinese in Giappone ha emesso una ferma condanna per il coinvolgimento nella convention dell'Amministrazione Centrale Tibetana, nota anche come Governo tibetano in esilio. La convenzione ha portato alla Dichiarazione di Tokyo, che condanna la repressione del governo cinese nella regione del Tibet e chiede una legislazione internazionale per salvaguardare la libertà culturale e religiosa tibetana. I ricercatori di X-Force hanno scoperto la campagna Hive0154 ideando diverse esche prima e dopo la convention.

Dopo la convention, sono state rilasciate diverse dichiarazioni, tra cui i Wise Action Plans on Tibet. Hive0154 l'ha probabilmente copiati dal sito web e inseriti in un documento Microsoft Word (DOCX) benigno all'interno di un archivio armato. L'archivio contiene inoltre articoli copiati direttamente da diversi siti web tibetani (qui e qui) in relazione alla convention, oltre a foto autentiche della convention. La presenza di articoli e foto legittime tra gli eseguibili armati con gli stessi nomi potrebbe ingannare le vittime, facendo in modo che aprano accidentalmente uno dei file EXE e inneschino l'infezione inconsapevolmente.

"9th WPCT Region-Wise Action Plans on Tibet.exe": 

Schermata di un DOCX benigno racchiuso in un archivio armato insieme a file EXE che condividono lo stesso nome di file
Fig. 3: Schermata di un DOCX benigno confezionato in un archivio armato insieme a un EXE che condividono lo stesso nome file

"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":

Schermata di un DOCX benigno racchiuso in un archivio armato insieme a file EXE che condividono lo stesso nome di file
Fig. 4: Schermata di un DOCX benigno impacchettato in un archivio armato insieme a un EXE che condividono lo stesso nome file (Fonte: Tibet.net)

Photos from the convention used as lure: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"

Leader tibetani seduti presso un lungo podio con microfoni di fronte ai giornalisti e ai cittadini Fig. 5: Immagine JPG confezionata in un archivio militare (Fonte: Tibet.net)
singole foto di leader tibetani e di altri leader mondiali alla conferenza tibetana in un collage
Fig. 6: Immagini della convention confezionate in un archivio armato insieme a file EXE e DLL dannosi (Fonte: Tibet.net)

Ulteriori attività rivolte alla comunità tibetana e agli Stati Uniti

In un'altra campagna, X-Force ha scoperto altri file dannosi a tema tibetano. Questi fascicoli riportano nomi con argomenti di interesse per la comunità tibetana, come la formazione bilingue in Tibet o il titolo di un libro recentemente pubblicato dal Dalai Lama. La scelta di tali argomenti è stata probabilmente studiata per invogliare i destinatari a essere ricettivi e a cliccare sul file. È da notare che gli esempi relativi al Tibet sono stati inviati dall'India, dove attualmente opera il governo in esilio, e questo suggerisce che i destinatari dei file potrebbero averli inviati a VirusTotal. In una campagna parallela, X-Force ha scoperto un file che probabilmente aveva come bersaglio la Marina degli Stati Uniti, e che potenzialmente discuteva di riunioni di gruppi di lavoro in corso tra la Marina degli Stati Uniti e altre parti.

Nome dell'esca

Paese mittente

Claimloader DLL SHA256

Data

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

Stati Uniti

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

 17 aprile 2025

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)

India

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

 26   maggio   2025

Voice for the Voiceless photos/Voice for the Voiceless photos.exe

India

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

 28   maggio   2025

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

Stati Uniti

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

 9   giugno   2025

"སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe" (translated Tibetan: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): Il tema è di grande importanza per la comunità tibetana e l'assimilazione culturale in Tibet è stata sottolineata da Human Rights Watch nel suo report.

"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": Si tratta di un riferimento a un libro pubblicato dal leader tibetano in esilio, il Dalai Lama, nel marzo 2025. Il Dalai Lama scrive del suo dialogo con i leader cinesi riguardo all'indipendenza del Tibet.

"DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe": Questo fascicolo potrebbe fare riferimento all'accordo minerario della Repubblica Democratica del Congo (RDC) con gli Stati Uniti e agli sforzi per ottenere il suo sostegno a tale accordo dopo aver osservato l'Ucraina raggiungere un accordo simile con gli Stati Uniti. A giugno 2025, la RDC sta per finalizzare l'accordo con gli Stati Uniti in cambio di assistenza militare e diplomatica contro i ribelli dell'M23 sostenuti dal vicino Ruanda.

"(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe": Questo potrebbe essere un riferimento alla Flotta del Pacifico della Marina degli Stati Uniti e alle sue attività di sensibilizzazione verso i paesi del'area del Pacifico. La flotta fornisce forze navali al Comando Indo-Pacifico degli Stati Uniti e può essere chiamata in causa in caso di conflitto a Taiwan.

Dettagli tecnici: aggiornamenti su Claimloader

Claimloader è una famiglia di caricatori che si è evoluta notevolmente negli ultimi anni. Contiene un payload di shellcode criptato, che viene decrittato e iniettato in fase di runtime. Il nostro blog precedente fornisce dettagli più tecnici sulle varianti precedenti utilizzate da Hive0154.

Alla prima esecuzione, Claimloader inizia creando un nuovo oggetto mutex per assicurarsi che venga eseguita solo una singola istanza di Claimloader. Successivamente sposta se stesso e l'EXE dei processi utilizzati per il sideloading delle DLL in una nuova directory con un nuovo nome, come ad esempio:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Successivamente, Claimloader utilizza l'API SHSetValueA() per stabilire la persistenza dell'EXE tramite una chiave di registro qui sotto:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

In seguito a questa azione, l'EXE viene eseguito ogni volta che l'utente corrente accede al computer. Il processo viene eseguito con un argomento predefinito, come "Licenza", utilizzato per invocare la funzionalità principale di Claimloader.

Nella seconda esecuzione di Claimloader con l'argomento specificato, l'ultima variante di Claimloader inizia a decifrare un payload embedded tramite l'algoritmo TripleDES. Questo algoritmo è stato osservato solo nelle varianti di Claimloader a partire dalla fine di aprile 2025. Le varianti aggiornate utilizzano anche nomi API cifrati XOR e API native LdrLoadDll() e LdrGetProcedureAddress() per risolvere le importazioni in modo dinamico.

Dopo cinque secondi di sospensione, Claimloader alloca un nuovo buffer eseguibile in memoria e copia il payload shellcode al suo interno. Il malware rimane inattivo per altri 10 secondi e poi richiama le API GetDC() e EnumFontsW(), utilizzate per eseguire il payload in memoria passando il suo punto di ingresso come funzione di callback.

Backdoor di Pubload

Il payload shellcode di Pubload non ha subito aggiornamenti dall'ultimo report. Contiene una semplice routine di auto-decrittazione prima di eseguire la funzionalità principale. Pubload è una semplice backdoor in grado di scaricare payload shellcode crittografati, che vengono iniettati nella memoria. Uno dei primi payload è il modulo Pubshell, che implementa una shell inversa per facilitare l'accesso immediato alla macchina infetta.

Conclusione

Hive0154 rimane un attore delle minacce altamente capace, con molteplici sottocluster attivi e cicli di sviluppo frequenti. X-Force valuta con grande fiducia che gruppi allineati con la Cina come Hive0154 continueranno a perfezionare il loro vasto arsenale di malware e a prendere di mira organizzazioni pubbliche e private in tutto il mondo. Le entità a rischio di attività Hive0154 devono mantenere un elevato livello di sicurezza difensiva e rimanere vigili sulle tecniche menzionate in questo report.

Raccomandazioni

  • Prestare attenzione alle e-mail contenenti un collegamento per il download di Google Drive
  • Prestare attenzione agli archivi scaricati, anche se contengono documenti previsti. Formare il personale a visualizzare e riconoscere le estensioni di file inaspettate.
  • Monitorare e cercare nelle reti i pacchetti di dati di applicazione TLS 1.2 (intestazione: 17 03 03) senza un precedente handshake TLS come segno di un beacon Pubload o Toneshell
  • Monitorare e cercare unità USB contenenti nomi eseguibili sospetti, DLL e directory nascoste che potrebbero indicare un dispositivo infetto da un worm USB
  • Monitorare e cercare directory sospette e sconosciute in C:\ProgramData\* che contengono un EXE legittimo vulnerabile al caricamento laterale di DLL e una DLL corrispondente
  • Monitorare e cercare le tecniche di persistenza nel registro e nelle attività pianificate
  • Monitorare qualsiasi attività insolita di rete, persistenza o modifica di file proveniente da processi eseguibili apparentemente innocui che caricano lateralmente una DLL dannosa

Indicatori di compromesso

Indicatore

Tipo di indicatore

Contesto

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

Claimloader DLL

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

Claimloader DLL

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

Claimloader DLL

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

Claimloader DLL

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

Claimloader DLL

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

Archivio armato

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

Archivio armato

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

Archivio armato

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
ff874c

SHA256

Archivio armato

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

Archivio armato

218.255.96[.]245:443

IPv4

Server Pubload C2

IBM X-Force Premier Threat Intelligence è ora integrato con OpenCTI di Filigran, offrendo informazioni fruibili sulle minacce e molto altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa l'X-Force OpenCTI Connector per migliorare la rilevazione e la risposta, rafforzando la tua cybersecurity con l'esperienza di IBM X-Force. Ottieni subito una versione di prova di 30 giorni di X-Force Premier Threat Intelligence!

