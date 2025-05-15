Nel dicembre 2024, X-Force ha osservato un'ulteriore attività di Hive0154 rivolta a Taiwan con la backdoor Pubload. A marzo, X-Force ha collaborato con una grande azienda manifatturiera per indagare su un'infezione da Pubload a Taiwan. Durante l'incidente, attori delle minacce hanno utilizzato il worm USB HIUPAN per diffondere Claimloader e Pubload tramite dispositivi USB. Il worm viene probabilmente utilizzato come payload successivo nelle infezioni iniziali di Pubload per aumentarne il numero e potenzialmente raggiungere reti che potrebbero essere sottoposte a isolamento fisico. La relazione tra entrambe le varianti di malware era stata documentata in precedenza da Trend Micro.

HIUPAN (noto anche come U2DiskWatch) è un worm USB, la cui DLL principale "u2ec.dll" viene trasferita tramite un EXE legittimo "UsbConfig.exe" quando un utente lo esegue involontariamente da un dispositivo USB. Il worm svolge le seguenti attività:

Copia se stesso e i componenti malware che lo accompagnano in una directory sul computer della vittima: C:\ProgramData\Intel\_\

Stabilisce la persistenza tramite la chiave di registro HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Run

Modifica le chiavi di registro per garantire che file e estensioni nascoste non siano visibili in Windows Explorer: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Esegue l'eseguibile principale del malware e monitora il processo per riavviarlo se necessario

Monitora la presenza di nuove connessioni di dispositivi USB. Se individuato, HIUPAN copia se stesso e i componenti malware associati sulla nuova unità in una sottodirectory nascosta "<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\" e nasconde tutti gli altri file esistenti per garantire che "UsbConfig.exe" sia l’unico file visibile sul dispositivo

HIUPAN utilizza un file di configurazione "$.ini" per memorizzare un moltiplicatore di sospensione e i nomi dei file dei suoi componenti e del malware associato. Questa modalità di azione rende estremamente semplice configurare il worm per diffondere qualsiasi malware semplicemente scambiando i file di payload e la configurazione basata su testo.

Di seguito è riportato il file di configurazione osservato nelle infezioni con sede a Taiwan che diffondono Claimloader e Pubload:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-

lib.dll,#.doc,$.ini