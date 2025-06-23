En junio de 2025, los investigadores de IBM X-Force descubrieron al actor de amenazas Hive0154, que difundía el malware Pubload con documentos señuelo y nombres de archivo dirigidos a la comunidad tibetana. La disputa de soberanía tibetana a menudo es invocada por grupos amenazantes chinos en sus operaciones cibernéticas, y la última campaña coincide con actividades que conduzcan a un evento importante para la comunidad tibetana, el cumpleaños 90 del Dalai Lama.
Varios señuelos observados presentan los siguientes temas relacionados con la comunidad tibetana:
Hive0154 es un actor de amenazas bien establecido alineado con China con un gran arsenal de malware, técnicas consistentes y actividad bien documentada en los últimos años. El grupo está formado por múltiples subgrupos y participa en ciberataques dirigidos a organizaciones públicas y privadas, incluidos think tanks, grupos políticos, agencias de gobierno y particulares. La observación de X-Force del uso por parte del grupo de múltiples cargadores de malware personalizados, puertas traseras y familias de gusanos USB muestra sus capacidades avanzadas. La actividad de Hive0154 se superpone con actores de amenazas informados públicamente como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris y Earth Preta.
X-Force detalló previamente una amplia actividad atribuida a un subclúster de Hive0154 dirigido a Estados Unidos, Filipinas, Pakistán y Taiwán en una supuesta campaña de espionaje desde finales de 2024 hasta principios de 2025. El grupo utiliza archivos armados que se originan a partir de correos electrónicos de phishing focalizado para apuntar a entidades incluyendo el personal gubernamental, militar y diplomático de Filipinas, Estados Unidos y Pakistán. Los correos electrónicos de phishing, los archivos y los nombres de archivos maliciosos utilizan referencias a diversos temas geopolíticos adaptados a su audiencia específica para despertar un mayor interés entre los destinatarios. Los correos electrónicos suelen incluir direcciones URL de Google Drive que descargan archivos ZIP o RAR maliciosos si el destinatario hace clic en el enlace.
Los archivos contienen un ejecutable benigno vulnerable a la carga lateral de DLL y un DLL malicioso de Claimloader. Los ejecutables suelen cambiar de nombre para engañar a las víctimas para que los abran, lo que desencadenaría inmediatamente la cadena de infección. El malware Claimloader establece persistencia, descifra su carga útil integrada de Pubload y la inyecta en la memoria. Pubload también descarga Pubshell, una puerta trasera liviana que facilita el acceso inmediato a la máquina a través de un shell inverso.
En el momento en que comenzó la campaña (21 de mayo), el señuelo de la WPCT que figura a continuación probablemente era una referencia a la próxima convención que se celebrará en Tokio, Japón, del 2 de junio al 4 de junio.
Nombre del señuelo
País del remitente
DLL de claimloader SHA256
Fecha
(WPCT)-ICT&CTA_Conference
India
2bd60685299c62ab
21 de mayo de 2025
La convención suele celebrar en Estados Unidos o Europa, y se celebró por primera vez en Japón. En total, asistieron 142 parlamentarios y representantes de 29 países, incluidos miembros parlamentarios de Bélgica y Japón. La embajada china en Japón emitió una enérgica denuncia por la participación en la convención de la Central Tibetan Administration, también conocida como el Gobierno tibetano en el exilio. La convención dio lugar a la Declaración de Tokio, condenando la represión del gobierno chino en la región del Tíbet y pidiendo legislación internacional para salvaguardar la libertad cultural y religiosa tibetana. Los investigadores de X-Force descubrieron la campaña Hive0154 ideando diferentes señuelos antes y después de la convención.
Tras la convención, se emitieron varias declaraciones, entre ellas Wise Action Plans on Tibet. Hive0154 probablemente lo copió del sitio web y en un documento benigno de Microsoft Word (DOCX) dentro de un archivo armado. El archivo contiene además artículos copiados directamente de múltiples sitios web tibetanos (aquí y aquí) en relación con la convención, así como fotos auténticas de la convención. Es probable que la presencia de artículos y fotos legítimos entre los ejecutables armados que comparten los mismos nombres engañe a las víctimas para que abran accidentalmente uno de los archivos EXE y, sin saberlo, desencadenen la infección.
“9th WPCT Region-Wise Action Plans on Tibet.exe”:
"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":
Fotos de la convención utilizadas como señuelo: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"
En otra campaña, X-Force descubrió archivos maliciosos adicionales con temática del Tíbet. Estos archivos tienen nombres con temas de interés para la comunidad tibetana, como la educación bilingüe en el Tíbet o el título de un libro recientemente publicado por el Dalai Lama. Probablemente, la elección de estos temas se diseñó para incitar a los destinatarios a ser receptivos y hacer clic en el archivo. Cabe destacar que las muestras relacionadas con el Tibetano fueron enviadas desde la India, donde actualmente opera el gobierno tibetano en el exilio, lo que sugiere que los destinatarios de los archivos pudieron haberlas enviado a VirusTotal. En una campaña paralela, X-Force descubrió un archivo que probablemente apuntaba a la Marina de Estados Unidos, que potencialmente discutía las reuniones de grupos de trabajo en curso entre la Marina y otras partes.
Nombre del señuelo
País del remitente
DLL de claimloader SHA256
Fecha
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
Estados Unidos
c80dfc678570bde7c
17 abril 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(traducido al tibetano: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)
India
93f1fd31e197a58b03c
26 de mayo de 2025
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
India
3e7384c5e7c5764258
28 de mayo de 2025
(USPACFLT) Working_Group_
Estados Unidos
8cd4324e1e764aafba
9 de junio de 2025
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe» (traducido del tibetano: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): El tema es de gran importancia para la comunidad tibetana y la asimilación cultural en el Tíbet fue señalada por Human Rights Watch en su informe.
“Voice for the Voiceless photos/Voice for the Voiceless photos.exe”: Se trata de una referencia a un libro publicado por el líder tibetano en el exilio, el Dalai Lama, en marzo de 2025. Escribe sobre su diálogo con los líderes chinos respecto a la independencia del Tíbet.
“DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe”: Este archivo puede ser una referencia al acuerdo minero de la República Democrática del Congo (RDC) con Estados Unidos y a los esfuerzos por obtener su apoyo para dicho acuerdo tras observar que Ucrania había alcanzado un acuerdo similar con Estados Unidos. En junio de 2025, la RDC está a punto de cerrar el acuerdo con Estados Unidos a cambio de asistencia militar y diplomática contra los rebeldes del M23, que cuentan con el apoyo de la vecina Ruanda.
“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: Esto puede ser una referencia a la Flota del Pacífico de la Marina de Estados Unidos y sus actividades de divulgación en los países de la cuenca del Pacífico. La flota proporciona fuerzas navales al Comando Indo-Pacífico de Estados Unidos y puede ser llamada en caso de conflicto en Taiwán.
Claimloader es una familia de cargadores que ha evolucionado significativamente en los últimos años. Contienen una carga útil cifrada de shellcode, que se descifra e inyecta en tiempo de ejecución. Nuestro blog anterior proporciona más detalles técnicos sobre las variantes anteriores utilizadas por Hive0154.
En la primera ejecución, Claimloader comienza creando un nuevo objeto mutex para garantizar que solo se esté ejecutando una única instancia de Claimloader. Luego se mueve a sí mismo y al EXE de sus procesos utilizado para la carga local de DLL a un nuevo directorio con un nuevo nombre, como:
A continuación, Claimloader utiliza la API SHSetValueA() para establecer la persistencia del EXE a través de la siguiente clave del registro:
Esto hará que el EXE se ejecute cada vez que el usuario actual inicie sesión en la máquina. El proceso se ejecuta con un argumento predefinido, como "Licensing", que se utiliza para invocar la funcionalidad principal de Claimloader.
En la segunda ejecución de Claimloader con el argumento especificado, la última variante de Claimloader comienza a descifrar una carga útil incrustada a través del algoritmo TripleDES. Este algoritmo solo se observó en las variantes de Claimloader a partir de finales de abril de 2025. Las variantes actualizadas también utilizan nombres de API cifrados con XOR y las API nativas LdrLoadDll() y LdrGetProcedureAddress() para resolver las importaciones de forma dinámica.
Tras cinco segundos de inactividad, Claimloader asigna un nuevo búfer ejecutable en la memoria y copia la carga útil del shellcode en él. El malware permanece inactivo durante otros 10 segundos y, a continuación, llama a las API GetDC() yEnumFontsW(), que utiliza para ejecutar la carga útil en la memoria pasando su punto de entrada como una función de devolución de llamada.
La carga útil del shellcode de Pubload no ha tenido ninguna actualización desde nuestro último informe. Contiene una rutina sencilla de autodescifrado antes de ejecutar su funcionalidad principal. Pubload es una puerta trasera simple capaz de descargar cargas útiles de shellcode cifradas, que se inyectan en la memoria. Una de las primeras cargas útiles es el módulo Pubshell, que implementa un shell inverso para facilitar el acceso inmediato a la máquina infectada.
Hive0154 sigue siendo un actor de amenazas altamente capaz con múltiples subclústeres activos y ciclos de desarrollo frecuentes. X-Force evalúa con gran confianza que los grupos alineados con China, como Hive0154, continuarán perfeccionando su gran arsenal de malware y se dirigirán a organizaciones públicas y privadas de todo el mundo. Las entidades en riesgo de actividad Hive0154 deben permanecer en un estado elevado de seguridad defensiva y permanecer alertas con respecto a las técnicas mencionadas en este informe.
Indicador
Tipo de indicador
Contexto
2bd60685299c62abe500fe80e
SHA256
DLL de Claimloader
c80dfc678570bde7c19df21877a1
SHA256
DLL de Claimloader
93f1fd31e197a58b03c6f5f774c138
SHA256
DLL de Claimloader
3e7384c5e7c5764258947721c77
SHA256
DLL de Claimloader
8cd4324e1e764aafba4ea0394a8
SHA256
DLL de Claimloader
7979686bf73c2988ab5d57f9605
SHA256
Archivo armado
ea991719885b2fe91502218ff3be1
SHA256
Archivo armado
6e408aada775eaf19c524792344c
SHA256
Archivo armado
57770ede7015734e2d881430423b
SHA256
Archivo armado
fb33f222b3d4d5edc9b743e6428
SHA256
Archivo armado
218.255.96[.]245:443
ipv4
Servidor C2 de Pubload
IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI de Filigran, lo que proporciona inteligencia de amenazas aplicable en la práctica sobre esta actividad maliciosa y mucho más. Acceda a insights sobre los actores de amenazas, el malware y los riesgos de la industria. Instale el OpenCTI Connector de X-Force para mejorar la detección y la respuesta, reforzando su ciberseguridad con la experiencia de IBM X-Force. ¡Obtenga una prueba de 30 días de X-Force Premier Threat Intelligence hoy mismo!
Conozca las amenazas más recientes y fortalezca sus defensas en la nube con el informe de X-Force sobre el escenario de amenazas en la nube.
Aprenda cómo enfrentar los desafíos y aproveche la resiliencia de la IA generativa en la ciberseguridad.
Proteja su organización de amenazas globales con el equipo de hackers, personal de respuesta, investigadores y analistas centrado en amenazas de IBM X-Force.
Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.
Proteja su entorno móvil con las soluciones integrales de defensa contra amenazas móviles de IBM MaaS360.
Obtenga soluciones integrales de administración de amenazas, protegiendo de manera experta su negocio contra ataques cibernéticos.