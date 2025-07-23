A partire dall'inizio di luglio 2025, IBM X-Force sta monitorando campagne attive del trojan di accesso remoto (RAT) Remcos del gruppo Hive0156, che prendono di mira vittime in Ucraina. Hive0156 è un attore delle minacce allineato alla Russia che cerca di compromettere individui all'interno del governo ucraino o dell'esercito. Gli strumenti, le tattiche e le procedure (TTP) del gruppo si sovrappongono fortemente all'attore UAC-0184 di CERT-UA. Hive0156 fornisce file Microsoft LNK e PowerShell armati, portando al download e all'esecuzione del RAT Remcos. X-Force ha osservato documenti esca che presentano temi che suggeriscono un focus sull'esercito ucraino e che si evolvono verso un potenziale destinatario più ampio.
Hive0156 è un attore delle minacce allineato alla Russia, che utilizza principalmente malware e documenti esca per orchestrare campagne informatiche dannose in Ucraina. Segnalato nel corso del 2024, Hive0156 ha preso di mira le chat e il personale militare ucraino inviando file LNK o script PowerShell dannosi, causando infezioni Remcos. Il gruppo utilizza temi di documenti esca altamente rilevanti per il personale coinvolto nella postura operativa dell'esercito ucraino.
In vista della metà del 2025, l'uso diffuso da parte di Hive0156 di temi militari rilevanti per documenti esca suggerisce un interesse prioritario nel colpire membri delle forze armate ucraine. I documenti esca nelle campagne sono spesso file di dati corrotti o spazzatura, ma rivelano temi selezionati dal gruppo per attirare il coinvolgimento delle vittime. I nomi dei file si trovano spesso in forme traslitterate in russo o ucraino. Di seguito sono evidenziati i documenti utilizzati da Hive0156 nelle operazioni precedenti alla metà del 2025.
La 33a Brigata meccanizzata è un'unità delle Forze terrestri ucraine. Verso la fine del 2024, la 33a Brigata ha partecipato alle operazioni di combattimento a Kurakhove e successivamente sulle linee del fronte di Heorhiivka e Vuhledar. L'esca è un documento funzionale Excel non autenticato con varie metriche che generalmente comunicano i livelli delle varie risorse.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx può riferirsi a un ordine di prontezza e possibilmente riferirsi alla 33a Brigata meccanizzata. Il nome del file si riferisce alla preparazione del primo battaglione meccanizzato, un battaglione ufficiale all'interno del 33a Brigata.
Nel giugno 2024, CERT-UA ha segnalato che UAC-0184 distribuiva file dannosi che presentavano la 3ª Brigata d'assalto autonoma dell'Ucraina, dando luogo a catene di attacco simili.
Tradotto automaticamente, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc si riferisce alla distribuzione dello staff operativo. Considerati i temi ricorrenti del periodo bellico, è probabile che si riferisca al numero delle truppe.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx è tradotto dal russo ed è un documento Excel funzionale. Il file è costituito da coordinate che mappano la provincia di Zanjan, in Iran. Da un'ispezione delle coordinate, sembra che le località siano per lo più costituite da terreni agricoli vicino a fonti di irrigazione come il fiume Tikmeh Dash.
A partire dalla metà del 2025, X-Force sta osservando documenti esca in lingua ucraina che presentano caratteristiche relative a "petizioni", "lettere di presentazione ufficiali" o "rifiuti formali". Si tratta di un allontanamento dall'enfasi del gruppo sui temi militari per un destinatario più generale. I documenti esca osservati dopo la metà del 2025 sono generalmente corrotti o pieni di dati inutili.
All'inizio di luglio 2025, il gruppo continua a fornire Remcos come payload finale principale e ne ha semplificato la distribuzione dal 2024. Le campagne recenti di Hive0156 iniziano con un file LNK o PowerShell di prima fase armato. Al momento dell'esecuzione, la prima fase tenta di contattare l'infrastruttura di comando e controllo (C2) dell'attore per recuperare il documento esca e l'archivio zip dei file dannosi. La comunicazione con il server C2 è filtrata per regione geografica e per un user-agent atteso. Dopo il recupero riuscito, il documento esca viene presentato all'utente, ma spesso viene corrotto. In background, un'istanza di Hijackloader (noto anche come IDAT Loader) viene eseguita e distribuisce il RAT Remcos.
Nelle campagne recenti, Hive0156 alterna le sue infezioni di prima fase tra file LNK o PowerShell dannosi. La funzionalità di entrambi i tipi è equivalente. L'esecuzione della prima fase è critica per la distribuzione del malware del gruppo, che viene scaricato in un archivio zip. Entrambi i tipi di prima fase eseguono una catena di infezione HijackLoader in background, mentre presentano all'utente un documento esca.
Una differenza fondamentale tra le campagne LNK e quelle in stile PowerShell è la distribuzione del documento esca. Nelle campagne basate su LNK, vengono avviate due richieste C2 separate per scaricare il documento esca e l'archivio ZIP di HijackLoader. Nelle campagne basate su PowerShell, viene avviata una chiamata per scaricare il file ZIP di HijackLoader che contiene il documento esca. Questa distinzione può aiutare i difensori della rete a identificare il tipo di infezione di prima fase riscontrato.
L'esecuzione di HijackLoader serve come meccanismo di distribuzione del gruppo per Remcos. Noto anche come IDAT Loader, HijackLoader fa riferimento ai file di dati collocati nello zip di prima fase per sbrogliare il payload finale: Remcos.
L'attore delle minacce impacchetta HijackLoader in un file ZIP. I file ZIP di HijackLoader contengono più componenti, tutti necessari per continuare la catena di infezione.
I seguenti componenti sono normalmente presenti all'interno di un file ZIP di HijackLoader:
In questo esempio, i file relativi a HijackLoader erano impacchettati in un file ZIP chiamato premo.zip. Il file eseguibile legittimo PortRemo.exe viene eseguito dal file LNK iniziale, che caricherà il file DLL patchato dannoso sqlite3.dll.
L'immagine seguente mostra la tabella di importazione per PortRemo.exe. A un certo punto durante l'esecuzione, una di queste funzioni verrà chiamata e alla fine porterà al codice dannoso all'interno di sqlite3.dll.
In questo esempio, sqlite3_result_text16() è la funzione dannosa. HijackLoader utilizzerà la tabella di esportazione per impedire a IDA di analizzare correttamente il file.
Il file DLL patchato leggerà e decifrerà lo shellcode di prima fase per HijackLoader. Lo shellcode decifrato procederà a decrittare il file PNG contenente i componenti di HijackLoader. HijackLoader utilizza vari moduli per una funzionalità migliorata.
La seguente tabella elenca i moduli noti così come le loro funzionalità:
Nome
Funzionalità
AVDATA
Modulo di blocklist che controlla i nomi dei processi noti per essere associati a software di sicurezza.
ESAL
Esegue il payload finale.
ESLDR
Usato per iniettare ed eseguire shellcode correlato a HijackLoader.
ESWR
Rimuove lo shellcode dalla memoria ed esegue il modulo "rshell".
FIXED
Un file eseguibile legittimo utilizzato per l'injection di processi.
LaunchLdr
Decritta il file PNG di HijackLoader per estrarre tutti i moduli.
rshell
Imposta il payload finale in memoria e lo esegue.
ti
Esegue l'injection di codice dopo la prima fase.
tinystub
Un file PE vuoto usato per patch e injection.
tinyutilitymodule
Sovrascrive gli header PE dei file specificati con byte nulli.
Una volta completati tutti i moduli, HijackLoader inietterà il payload finale in un processo remoto.
L'analisi di X-Force sulla configurazione di Remcos da parte di Hive0156 sembra mostrare poche funzionalità abilitate. Tuttavia, ciò non indica una diminuzione della minaccia. La versione di Remcos di Hive0156 è principalmente configurata per stabilire comunicazione con l'infrastruttura C2 del gruppo e attendere periodicamente nuovi comandi. Sembra che il gruppo gestisca più campagne in parallelo e utilizzi con diligenza la funzionalità ID campagna di Remcos. Nel corso del 2025, X-Force ha osservato gli ID campagna hmu2005, gu2005, ra2005 e ra2005new associati al gruppo.
Remcos è uno strumento di amministrazione remota sviluppato da Breaking-Security. I dettagli sulle sue caratteristiche sono disponibili qui.
Al momento dell'esecuzione, Remcos caricherà la sua configurazione da un blob all'interno delle sue risorse. Una volta completato, Remcos analizzerà la sua configurazione, che determina quali azioni intraprenderà durante l'esecuzione.
Remcos accetta i seguenti parametri di configurazione:
ID configurazione
Funzione
0x0
Contiene indirizzi C2.
0x1
Contiene un identificatore per la campagna.
0x2
Determina la frequenza con cui Remcos deve collegarsi a C2.
0x3
Installa Remcos una volta eseguito. L'installazione include lo spostamento in una posizione speciale.
0x4
0x5
Abilita la persistenza utilizzando HKLM e HKCU Software\Microsoft\Windows\CurrentVersion\Run
0x7
Dimensione massima del file per i dati del keylogger prima della rotazione.
0x8
Abilita la persistenza utilizzando la chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
0x9
Directory per posizionare Remcos durante l'installazione.
0xA
Nome del file in cui spostare Remcos durante l'installazione.
0xC
Abilita l'attributo file nascosto e imposta i file associati come di sola lettura.
0xE
Un nome mutex.
0xF
Determina se il keylogger è disabilitato, abilitato completamente o abilitato solo per determinate finestre.
0x10
Utilizzato per determinare dove vengono memorizzati i keylog.
0x11
Utilizzato per determinare il nome del file per i keylog.
0x12
Controlla la crittografia RC4 per i keylog.
0x13
Controlla l'occultamento dei file del keylogger.
0x14
Abilita o disabilita la funzionalità di registrazione dello schermo.
0x15
Intervallo in minuti per l'acquisizione di ogni schermata.
0x16
Registra solo le schermate per i nomi di finestre specifici se abilitato.
0x17
Nomi delle finestre per l'opzione precedente.
0x18
Intervallo di tempo associato all'acquisizione di schermate di finestre specifiche.
0x19
Directory principale in cui memorizzare le schermate.
0x23
Abilita o disabilita la registrazione audio.
0x24
Durata in secondi per ogni registrazione audio.
0x25
Directory principale in cui memorizzare le registrazioni audio.
0x26
Nome della cartella in cui memorizzare le registrazioni audio.
0x27
Disabilita l'UAC nel registro se abilitato.
0x28
Modalità di registrazione. Utilizzato per abilitare o disabilitare la finestra della console.
0x29
Ritardo in secondi per il primo tentativo di connessione al C2.
0x2A
Nomi di finestre specifici per la funzionalità di keylogging.
0x2B
Abilita la cancellazione del browser web all'avvio. Remcos è in grado di eliminare tutti i cookie e gli accessi da Explorer, Chrome e Firefox, come indicato dalla configurazione. Lo scopo di questa caratteristica è ostacolare i ladri di informazioni e probabilmente non è molto utile per un aggressore malintenzionato.
0x2C
Abilita la pulizia del browser web solo alla prima esecuzione.
0x2D
Tempo di attesa in minuti prima di cancellare i dati dei browser web.
0x2E
Abilita o disabilita la funzionalità di bypass UAC.
0x30
Directory in cui installare Remcos.
0x31
Directory in cui memorizzare i keylog.
0x32
Attiva la funzionalità watchdog. Remcos si inserirà in un secondo processo e monitorerà il proprio processo originale. La funzione principale è quella di riavviare il file eseguibile primario se viene terminato.
0x34
Numero di licenza Remcos.
0x35
Abilita la visualizzazione del puntatore del mouse su ogni schermata scattata.
0x36
Certificato TLS utilizzato per la comunicazione C2.
0x37
Chiave TLS utilizzata per la comunicazione C2.
0x38
Certificato pubblico TLS per C2.
I flag di configurazione vengono utilizzati per determinare se Remcos debba abilitare determinate caratteristiche. Una volta che Remcos avrà analizzato la sua configurazione, inizierà a contattare i server C2. Remcos può accettare comandi aggiuntivi dal suo server C2, tra cui i seguenti:
ID comando
Funzionalità
0x1
Un comando ping.
0x2
Disabilita l'invio di pacchetti keep-alive.
0x3
Elenca le applicazioni installate.
0x6
Elenca i processi in esecuzione.
0x7
Termina un processo.
0x9
Chiude una finestra.
0xA
Mostra una finestra ingrandita.
0xB
Mostra una finestra.
0xC
Termina un processo tramite l'handle della finestra.
0xD
Esegue un comando di shell.
0xE
Avvia una shell con pipe.
0xF
Esegue un programma.
0x10
Carica le schermate sul server C2.
0x11
Ottiene la posizione IP globale dell'host.
0x12
Ottiene informazioni dalla funzionalità keylogger offline.
0x13
Avvia il keylogger in modalità online.
0x14
Arresta il keylogger quando viene avviato in modalità online.
0x15
Carica i dati del keylogger sul C2.
0x16
Carica i dati del keylogger sul C2.
0x17
Cancella i dati del keylogger.
0x18
Cancella i cookie e gli accessi del browser.
0x1B
Avvia il modulo di registrazione della webcam.
0x1C
Arresta il modulo di registrazione della webcam.
0x1D
Abilita il modulo di registrazione del microfono.
0x1E
Disabilita il modulo di registrazione del microfono.
0x1F
Tenta di rubare credenziali da vari programmi. Utilizza le utility di recupero password Nirsoft: https://www.nirsoft.net/ (Link esterno a ibm.com).
0x20
Elimina un file o una cartella.
0x21
Termina il proprio processo e il processo del watchdog.
0x22
Disinstalla Remcos dal sistema.
0x23
Riavvia il computer.
0x24
Aggiorna Remcos da un URL fornito.
0x25
Aggiorna Remcos utilizzando il server C2.
0x26
Visualizza una finestra di messaggio.
0x27
Provoca uno spegnimento del sistema o un'ibernazione.
0x28
Carica i dati degli appunti sul server C2.
0x29
Imposta gli appunti sui dati definiti da C2.
0x2A
Cancella gli appunti.
0x2B
Carica ed esegue un file DLL dal C2.
0x2C
Carica ed esegue un file DLL da un URL fornito.
0x2F
Modifica il registro in base ai valori forniti dal C2.
0x30
Sembra permettere all'aggressore di parlare con la vittima.
0x31
Imposta l'identificatore del nome Remcos.
0x32
Consente l'uso e la gestione dei proxy.
0x34
Consente a Remcos di gestire i servizi di sistema.
0x8F
Cerca un file nel sistema.
0x92
Imposta lo sfondo del sistema.
0x94
Imposta il testo di una finestra ed elenca i processi attivi con finestre utilizzando EnumWindows().
0x97
Carica i risultati del comando "dxdiag" sul server C2.
0x98
Consente a Remcos di gestire i file tramite azioni quali copia, spostamento ed eliminazione.
0x99
Carica i dati della schermata sul C2.
0x9A
Scarica la cronologia del browser web utilizzando i file eseguibili di Nirsoft.
0x9E
Riproduce un file audio "alarm.wav". Questo file è ottenuto dal server C2.
0x9F
Abilita la riproduzione di "alarm.wav" in caso di disconnessione dal C2.
0xA0
Disabilita la riproduzione di "alarm.wav" in caso di disconnessione dal C2.
0xA2
Scarica "alarm.wav" dal server C2.
0xA3
Riproduce un file audio.
0xAB
Migliora un processo.
0xAC
Abilita la finestra della console di registrazione.
0xAD
Mostra la finestra della console di registrazione.
0xAE
Nasconde la finestra della console di registrazione.
0xB2
Inietta un file eseguibile in un nuovo processo e lo esegue.
0xC5
Imposta un valore di registro.
0xC6
Carica i cookie e le password del browser sul C2.
0xC8
Sospende un processo.
0xC9
Riprende un processo.
0xCA
Legge un file e invia il contenuto al server C2.
0xCB
Scrive il contenuto fornito dal C2 in un file.
0xCC
Avvia il keylogger in modalità offline.
0xCD
Ferma il keylogger quando viene avviato in modalità offline.
0xCE
Elenca le tabelle TCP e UDP di un processo.
Come mostrato sopra, Remcos ha un'ampia varietà di funzionalità, tra cui l'amministrazione remota, l'esecuzione di payload, la sorveglianza, la persistenza e il furto di informazioni. Remcos può essere utilizzato da amministratori di sistema legittimi; tuttavia, è ampiamente utilizzato anche da vari attori delle minacce. Le azioni intraprese da Remcos su un sistema sono guidate principalmente dalla comunicazione con il suo server C2. Remcos include un pannello GUI che consente agli attaccanti di gestire facilmente più vittime all'interno di un'unica interfaccia. L'interfaccia GUI consente di creare attività automatizzate e di interagire manualmente con l'impianto Remcos su un sistema vittima.
Hive0156 opera una rete di server C2 in tutto il mondo e molto probabilmente trae beneficio dall'indifferenza dei provider di hosting russi verso le operazioni del gruppo. X-Force ha scoperto che il gruppo utilizza il geofencing almeno per l'Ucraina e richiede il filtraggio degli header come parte delle proprie operazioni di staging. Hive0156 implementa Remcos con caratteristiche limitate abilitate, ma aggiorna continuamente la sua configurazione dal suo C2. Questo potrebbe indicare una priorità per gli accessi inattivi e l'abilitazione selettiva della raccolta su nuove iniziative. La manutenzione di una connettività senza ostacoli tra le infezioni Remcos e l'infrastruttura C2 del gruppo è fondamentale per l'accesso continuo alle vittime.
Hive0156 continua a condurre operazioni informatiche dannose contro l'Ucraina. X-Force valuta che il gruppo continua a prendere di mira il personale militare ucraino, ma sta evolvendo i suoi documenti esca verso temi più generali, suggerendo un bacino di vittime più ampio. Le organizzazioni e il personale appartenenti o associati all'esercito ucraino sono a rischio elevato di essere presi di mira da Hive0156.
X-Force raccomanda le seguenti azioni per mitigare l'attività di Hive0156:
Indicatore
Tipo di indicatore
Contesto
5.101.83[.]18
Indirizzo IP
C2
5.101.83[.]19
Indirizzo IP
C2
5.101.82[.]52
Indirizzo IP
C2
146.185.239[.]11
Indirizzo IP
C2
146.185.239[.]12
Indirizzo IP
C2
5.101.80[.]15
Indirizzo IP
C2
6637405265adc8b
SHA256
LNK dannoso
46d633c2937eeca2
SHA256
LNK dannoso
14515e5498d3d3219e
SHA256
LNK dannoso
37d2f3d3af2d564d6f9
SHA256
LNK dannoso
842d1e27d919a0ef568
SHA256
LNK dannoso
ccf6d3eaea549b8f1f02
SHA256
LNK dannoso
63e9fa71789996cf52b
SHA256
LNK dannoso
1f157d473ccfe51a22a0
SHA256
LNK dannoso
002e2e591f324ebdfa2
SHA256
LNK dannoso
c38beb137b130c00b6
SHA256
LNK dannoso
6cd56f7f1f8c7c422c672
SHA256
LNK dannoso
44448993bbe5931c62
SHA256
LNK dannoso
d9d26d19da539b0adc
SHA256
LNK dannoso
7efbfd633d469405c66
SHA256
LNK dannoso
9b662720f48749f5b29d
SHA256
LNK dannoso
8556f07ceb37e726a66c
SHA256
LNK dannoso
9d95228173bf5f29bc3d2
SHA256
LNK dannoso
6c5a89c3dd7b596fd1be
SHA256
LNK dannoso
2387e5e7f1eebfa1c27f95
SHA256
PowerShell dannoso
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
RAT Remcos
072a05492922f4a812ad
SHA256
RAT Remcos
eabb395b925c39cd2199
SHA256
RAT Remcos
53fc03a7446f0b6dda8c4
SHA256
RAT Remcos
6a4a79b885b5bcd8bbd
SHA256
RAT Remcos
068630c8edc29e424f19
SHA256
RAT Remcos
