Hive0154（Mustang Panda）が、Publoadバックドアのデプロイ対象としてチベット人コミュニティに注目

モニターとその向こうの設備に囲まれた机でパソコンに向かう男性の後ろ姿

共同執筆者

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

概要

2025年6月、IBM X-Force® の研究者は、中国に同調した脅威アクターであるHive0154が、Publoadマルウェアを仕込んだルアー・ドキュメントを拡散させており、そのファイル名がチベット人コミュニティを標的にしていることを発見しました。チベットの主権をめぐる争いは、しばしば中国の脅威グループがサイバー活動の中で関与しており、最新のキャンペーンはチベット人コミュニティにとって 大きな出来事であるダライ・ラマの90歳の誕生日に向けての活動と時期を同じくしています。

観察されたいくつかのルアーには、ティベット人コミュニティに関連する次のトピックが仕込まれています。

  • 第9回世界チベット議員会議（WPCT）が6月2日から6月4日まで東京で開催されたこと
  • ティベト自治州（TAR）における中国の教育政策。この話題はチベット人コミュニティにとって非常に重要であり、チベットにおける文化的同化はヒューマン・ライツ・ウォッチの報告書でも指摘されています。
  • 2025年3月、チベット亡命指導者ダライ・ラマによって出版された書籍 「声なき者のための声』 。この本では、チベットの独立に関するダライ・ラマと中国の指導者との対話について説明しています。

主な調査結果

  • 中国に拠点を置く脅威アクターであるHive0154は、2025年を通して、標的としたキャンペーンに多数のフィッシング・ルアーを拡散し、Publoadバックドアをデプロイしてきまし
  • Hive0154は、ターゲットとなる受信者の関心を高めるために、さまざまな地政学的トピックを参照するファイル名を考案します。
  • 2025年5月の時点で、X-Force® は、チベット人コミュニティをターゲットにしたトピックへの関心が高まっていることに気付きました。
  • このフィッシング・キャンペーンは、6月に東京で開催された第9回チベット世界議員会議（WPCT）や、チベット自治州（TAR）における中国の教育政策、そしてダライ・ラマによる2025年の出版物「声なき者の声」に言及しています
Hive0154の概要

Hive0154は、大規模なマルウェア武器と一貫した手法を備えた中国に同調する脅威アクターであり、過去数年間にわたりその活動が多く記録されています。このグループは複数のサブクラスターで構成され、シンク・タンク、政策グループ、官公庁・自治体、個人など、公的組織および民間組織を標的としたサイバー攻撃を行っています。このグループによる複数のカスタム・マルウェア・ローダー、バックドア、USBワーム・ファミリーの使用をX-Force® が確認したことは、彼らの高度な能力を示しています。Hive0154の活動は、Mustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris、Earth Pretaとして公に報告されている脅威アクターと重複しています。

以前の活動

X-Force® は、Hive0154のサブクラスタが2024年後半から2025年前半にかけて米国、フィリピン、パキスタン、台湾を標的にした、スパイ活動の疑いがある大規模な活動を、以前。詳細に記録しています。このグループは、スピア・フィッシングEメールが基になった武器化されたアーカイブを利用して、フィリピン、合衆国、パキスタンの官公庁・自治体、軍、外交官などのエンティティーを標的にします。フィッシング・Eメールやアーカイブ、悪意のあるファイル名では、オーディエンスの関心を高めるために、特定の層に合わせてさまざまな地政学的トピックに言及しています。Eメールには通常、受信者がリンクをクリックすると武器化されたZIPやRARアーカイブをダウンロードするGoogleドライブURLが含まれています。

2025年4月のキャンペーンからのHive0154フィッシングEメールの例。
図1：2025年4月のキャンペーンからのHive0154フィッシング・Eメールの例。

アーカイブには、DLL サイドロードと悪意のある Claimloader DLL に対して脆弱な無害の実行可能ファイルが含まれています。この実行可能ファイルは通常、被害者を騙して開いてもらうために名前が変更され、すぐに感染の連鎖が引き起こされます。Claimloaderマルウェアは永続性を確立し、埋め込まれたPubloadペイロードを復号化してメモリに注入します。Pubload はさらに、リバースシェルを介してマシンにすぐにアクセスできるようにする軽量バックドアである Pubshell をダウンロードします。

Pubload感染連鎖の図
図2：publoadの感染連鎖

チケットに関する第9回世界国会議事堂（WPCT）

キャンペーンが始まった当初（5月21日）、下のWPCTのルアーは、6月2日から6月4日まで東京で開催されるコンベンションのことを指していたと思われます。

ルアー名

送信者の国または地域

Claimloader DLL SHA256

日付

(WPCT)-ICT&CTA_Conference
/(World_Parliamentarians’
_Convention_on
_Tibet(WPTC)_in
_Japan_tokyo).June 2025.exe

インド

2bd60685299c62ab
e500FE80E9F03A627A1
567059ce213d7c0cc76
2fa32552d7

2025年5月21日

通常、米国やヨーロッパで開催されるこのコンベンションは初めて日本で開催されました。全体として、ベルギーや日本の国会議員を含む 29か国から142名の議員と代表 が出席しました。駐日中国大使館は、チベット亡命政府としても知られる中央チベット行政府のコンベンションへの関与を強く非難しました。このコンベンションの結果、東京宣言が発表され、チベット地域における中国政府の弾圧を非難し、チベットの文化的・宗教的自由を守るための国際的な法整備を求めました。X-Forceの研究者は、コンベンション前後で異なるルアーを仕掛けるHive0154キャンペーンを明らかにしました。

大会後、チベットに関する賢明な行動計画など、いくつかの宣言が発表された。Hive0154はそれをWebサイトから、武器化されたアーカイブ内の無害なMicrosoft Word文書（DOCX）にコピーした可能性があります。アーカイブにはさらに、大会に関連する複数のチベットのウェブサイトから直接コピーした記事（ここと ここ）と、大会の本物の写真が含まれています。武器化された実行ファイルの中に同じ名前を共有する正当な記事や写真が含まれていると、被害者を騙して誤ってEXEファイルの1つを開かせ、知らないうちに感染を引き起こす可能性があります。

「Tibet.exeに関する第9回WPCT地域別行動計画」

同じファイル名を共有するEXEとともに武器化されたアーカイブにパッケージ化された無害なDOCXの画面
図3：同じファイル名を共有するEXEとともに武器化されたアーカイブにパッケージ化された無害なDOCXの製品の画面

「Tokyo.exe に世界の議員が集結、チベットに注目が集まる」

同じファイル名を共有するEXEとともに武器化されたアーカイブにパッケージ化された無害なDOCXの画面
図4：同じファイル名を共有するEXEとともに武器化されたアーカイブにパッケージ化された無害なDOCXの製品の製品の画面 （出典：Tibet.net）

ルアーとして使用されたコンベンションの写真:「第 9 回 WPCT チベット地域別行動計画(DSC01650.jpg).exe」

レポーターや市民の前でマイクを備えた長い演台に座るチベットの指導者たち 図5：武器化されたアーカイブにパッケージ化されたJPG画像（出典：Tibet.net）
チベット会議に出席したチベットおよびその他の世界の指導者たちの個別写真のコラージュ
図6：悪意のあるEXEおよびDLLとともに武器化されたアーカイブにパッケージ化されたコンベンションの画像（出典：Tibet.net）

チベット人コミュニティおよび米国を対象としたさらなる活動

別のキャンペーンでは、X-ForceはTibetをテーマにした悪意のあるファイルをさらに発見しました。これらのファイルには、チベットのバイリンガル教育プログラム やダライ・ラマの 最近出版された書籍 のタイトルなど、チベットコミュニティが関心を持つテーマの名前が付けられています。このようなトピックの選択は、おそらく受信者が安心して受け入れてファイルをクリックするように誘導するためだと考えられます。注目すべきは、チベット関連のサンプルが現在の亡命チベット行政府が活動しているインドから送信されたことであり、これはファイルの受取人がVirusTotalに送信した可能性を示唆しています。並行して行われたキャンペーンでX-Forceは、米海軍を標的にしたとみられるファイルを発見しました。このファイルには、米海軍と他の関係者の間で進行中のワーキンググループ会議について議論している内容が含まれている可能性があります。

ルアー名

送信者の国または地域

Claimloader DLL SHA256

日付

DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe

アメリカ合衆国

c80dfc678570bde7c
19df21877a15cc7914d
3ef7a3cef5f99fce26fcf
696c444

2025年4月17日

སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe

(チベット語訳：バイリンガル教育改革プログラム報告書／バイリンガル教育改革レポート.exe)

インド

93f1fd31e197a58b03c
6f5f774c1384ffd0351
6ab1172d9b26ef5a4
a32831637

2025 年 5 月 26 日

Voice for the Voiceless 写真／Voice for the Voiceless 写真.exe

インド

3e7384c5e7c5764258
947721c7729f221fb4
7ef53d447a7af5db542
6f1e7c13d

2025年5月28日

(USPACFLT) Working_Group_
Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe

アメリカ合衆国

8cd4324e1e764aafba
4ea0394a82943cefd7
deeee28a6cbd19f2ba6
9de6a5766

2025年6月9日

“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (チベット語訳：バイリンガル教育改革プログラム報告書／バイリンガル教育改革レポート.exe）：このテーマはチベット人コミュニティにとって非常に重要であり、チベットにおける文化的同化はヒューマン・ライツ・ウォッチの報告書でも指摘されています。

「Voice for the Voicelessphots/Voice for the Voiceless 写真.exe」：これは、チベット亡命指導者ダライ・ラマ氏が2025年3月に出版した言及したものです。彼は、ティベトの独立に関する中国の指導者との対話について書いています。

「DRC Mining、戦略的鉱物開発政策/4月17日/DRC Mining, 戦略的鉱物開発政策.exe」：このファイルは、コンゴ民主共和国（DRC）が米国と結んだ鉱物採掘協定、およびウクライナが米国と同様の協定を結んだのを受けて、そのような協定への支持を得ようとする取り組みについて言及している可能性があります。2025年6月現在、DRCは、隣国ルワンダの支援を受けているM23反乱軍に対する軍事的・外交的支援と引き換えに、米国との協定を締結しようとしています。

“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”これは、米海軍の太平洋艦隊と、同艦隊の環太平洋諸国または地域への支援活動を指しているのかもしれない。同艦隊は米インド太平洋軍に海軍力を提供しており、台湾で紛争が発生した場合には招集される可能性があります

技術的な詳細：クレームローダーの更新

Claimloaderは、過去数年で大幅に進化したローダー・ファミリーです。これらには、暗号化されたシェルコード・ペイロードが含まれており、実行時に復号化されて注入されます。以前のブログでは、Hive0154で使用されていた以前の亜種についての技術的な詳細を説明しています。

最初の実行時に、Claimloaderは最初に新しいミューテックス・オブジェクトを作成し、Claimloaderのインスタンスが1つだけ実行されていることを確認します。その後、自身とDLLサイドローディングに使われるプロセスのEXEを新しいディレクトリに移します。例えば以下のような名前で移動させます。

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe
C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

次に、ClaimloaderはAPI SHSetValueA()を使用して、以下のレジストリー・キーを通じてEXEの永続性を確立します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

これにより、現在のユーザーがマシンにログオンするたびにEXEが実行されます。このプロセスは、「Licensing」などの事前定義された引数を使用して実行され、Claimloaderの主な機能を呼び出すために使用されます。

指定された引数を使用したClaimloaderの2回目の実行時に、最新のClaimloaderの亜種は、TripleDESアルゴリズムを介して埋め込みペイロードの復号化を開始します。このアルゴリズムは、2025年4月下旬以降のClaimloaderの亜種でのみ観察されています。更新された亜種はまた、XOR暗号化されたAPI名とネイティブAPIのLdrLoadDll() LdrGetProcedureAddress()を使用して、インポートを動的に解決します。

5秒間スリープ状態になった後、Claimloaderはメモリーに新しい実行可能なバッファーを割り当て、シェルコードのペイロードをその中にコピーします。マルウェアはさらに 10 秒間スリープ状態になり、API の getDC () EnumFontsw () を呼び出します。これらを使用して、エントリポイントをコールバック関数として渡すことで、メモリ内のペイロードを実行します。

Pubload バックドア

Pubload シェルコードのペイロードは、前回の報告以降更新されていません。これには、主要な機能を実行する前に、単純な自己復号化を行うルーチンが含まれています。Pubload は、暗号化されたシェルコード・ペイロードをダウンロードしてメモリに注入できるシンプルなバックドアです。最初のペイロードの1つは、感染したマシンへの即時アクセスを容易にするリバース・シェルを実装するPubcellモジュールです。

まとめ

Hive0154は、複数のアクティブなサブクラスターと頻繁な開発サイクルを備え、高度な能力を持つ脅威アクターであり続けています。X-Forceは、Hive0154のような中国と連携したグループが大規模なマルウェア兵器を改良し続け、世界中の公共組織や民間組織を標的にしていくだろうと強い確信をもって評価しています。Hive0154の感染リスクにさらされている組織は、引き続き高度な防御セキュリティ体制を維持し、本報告書に記載されている手法に関して警戒を怠らないようにする必要があります。

推奨事項

  • Googleドライブのダウンロードリンクを含むEメールに注意してください
  • ダウンロードしたアーカイブには、たとえ予期される文書が含まれていても注意してください。予期しないファイル拡張子を表示および認識できるようにスタッフをトレーニングします。
  • Pubload または Toneshell ビーコンの兆候として、以前の TLS ハンドシェイクのない TLS 1.2 アプリケーション・データ・パケット (ヘッダー: 17 03 03) をネットワークで監視およびハントします。
  • デバイスが USB ワームに感染していることを示唆する疑わしい実行ファイル名、DLL、隠しディレクトリを含む USB ドライブを監視およびハントします。
  • DLL サイドローディングに対して脆弱な正規の EXE とそれに対応する DLL を含むC:\ProgramData\*内の疑わしい未知のディレクトリを監視およびハントします
  • レジストリおよびスケジュールされたタスクにおける永続化の手法を監視・探索する
  • 悪意のあるDLLをサイドロードする一見無害なプロセス実行ファイルに起因する異常なネットワーク、永続性、またはファイル変更アクティビティを監視します。

侵害の兆候

分類

インジケータータイプ

コンテキスト

2bd60685299c62abe500fe80e
9f03a627a1567059ce213d7c0cc
762fa32552d7

SHA256

Claimloader DLL

c80dfc678570bde7c19df21877a1
5cc7914d3ef7a3cef5f99fce26fcf6
96c444

SHA256

Claimloader DLL

93f1fd31e197a58b03c6f5f774c138
4ffd03516ab1172d9b26ef5a4a328
31637

SHA256

Claimloader DLL

3e7384c5e7c5764258947721c77
29f221fb47ef53d447a7af5db5426f
1e7c13d

SHA256

Claimloader DLL

8cd4324e1e764aafba4ea0394a8
2943cefd7deeee28a6cbd19f2ba6
9de6a5766

SHA256

Claimloader DLL

7979686bf73c2988ab5d57f9605
dcef2231ca87580f6ecedc75b2cbe
81669ba0

SHA256

武器化されたアーカイブ

ea991719885b2fe91502218ff3be1
2c9f990a24c7e007e4ffb5a5c5c52
b3a0b5

SHA256

武器化されたアーカイブ

6e408aada775eaf19c524792344c
abca0b406247154e2b03ed03a92
9e0feee5a

SHA256

武器化されたアーカイブ

57770ede7015734e2d881430423b
cc76c160b90448f5e67334e56b9747
ff874c

SHA256

武器化されたアーカイブ

fb33f222b3d4d5edc9b743e6428
2de561ef51e42db150dd8086203c5
3b25ff79

SHA256

武器化されたアーカイブ

218.255.96[.]245:443

ipv4

Pubload C2サーバー

