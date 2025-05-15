A partir de mayo de 2025, IBM X-Force está rastreando una supuesta campaña de espionaje utilizando archivos ZIP armados para distribuir puertas traseras Pubload y Toneshell. X-Force atribuye esta campaña, que probablemente comenzó a fines de 2024, al actor de amenazas alineado con China Hive0154, cuyas operaciones se superponen con grupos rastreados como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris y Earth Preta. Los archivos contienen señuelos de temática política probablemente diseñados para atraer al personal de gobierno, militar y diplomático en Filipinas, Estados Unidos y Pakistán. Los subclústeres Hive0154 han utilizado tácticas similares en el pasado. En concreto, han utilizado el malware Claimloader para instalar puertas traseras persistentes que facilitan el acceso directo a los entornos de las víctimas con el fin de obtener insight avanzado sobre las decisiones emergentes de los gobiernos mundiales. X-Force también ha observado que el grupo emplea un gusano USB para propagar Pubload en Taiwán, llegando potencialmente a redes que podrían estar aisladas.
Desde al menos 2022, Hive0154 ha utilizado la familia de malware Toneshell, entre otros, para realizar operaciones cibernéticas en todo el mundo. El malware relacionado con Toneshell, como Pubload y Pubshell (también conocido como NoFive), indica que el grupo mantiene líneas de malware separadas como parte de sus operaciones. El grupo consta de múltiples subclústeres y se dirige a organizaciones públicas y privadas, incluyendo think tanks, grupos de políticas, agencias de gobierno y particulares. X-Force evalúa que este actor de amenazas es una amenaza capaz, como lo demuestra el uso de múltiples cargadores de malware independientes, familias de gusanos de puerta trasera y USB, y los informes constantes de su actividad por parte de varios equipos de investigación de seguridad.
En 2023, Palo Alto informó que uno de los subclústeres Hive0154 que rastrea X-Force estaba utilizando varios señuelos para difundir la puerta trasera Pubload. Algunos de los señuelos a continuación también coinciden con una campaña contra Myanmar según lo informado por CSIRT CTI en enero de 2024. Los señuelos que aparecen a continuación muestran el interés continuo de China en los países del sudeste asiático y en Australia.
Nombre del señuelo
Descripción
SHA256
Fecha
Notice re UEC, (04-25-2023 Day).zip
Desconocido
167a842b97d0
Abril de 2023
April 27 updated party list.zip
Desconocido
41276827827b9
Abril de 2023
Biography of Senator the Hon Don Farrell.zip
El nombre del archivo parece ser una copia directa del título que aparece en el sitio web de Comercio y Turismo de Australia sobre el ministro de Comercio australiano.
4fbfbf1cd2efaef1
Abril de 2023
SAC tiene algunos requisitos de instrucción para las elecciones generales
Desconocido
782e074601f5b1
Abril de 2023
National Security Priority Programs.zip
Desconocido
a02766b3950dbb
Mayo de 2023
230605 Ministerial meeting minutes (1).zip
El archivo puede ser una referencia a la declaración realizada en París el 8 de junio de 2023 por ministros de Australia, Canadá, Japón, Estados Unidos, Reino Unido y Nueva Zelanda sobre prácticas comerciales abusivas relacionadas con la región de Asia y el Pacífico.
178e92c59afe4c
Junio de 2023
NUG's Foreign Policy Strategy.zip
El texto aparece en esta página web de CSIS Indonesia, en relación con una situación que se desarrolla en Myanmar, que está envuelta en una guerra civil, con informes que sugieren que China está considerando enviar personal de seguridad en apoyo del gobierno de la junta militar de Myanmar, según informes de diciembre de 2024.
ba7c456f229adc
Agosto de 2023
Analysis of the third meeting of NDSC.zip
El archivo puede haber sido parte de una campaña previamente denunciada contra el gobierno de Myanmar por parte de Stately Taurus a principios de 2024. Alrededor de octubre de 2023, Myanmar se vio envuelta en una guerra civil entre la facción rebelde y las fuerzas del gobierno, donde las fuerzas rebeldes han tomado efectivamente el control de una ruta comercial clave para China.
4e8717c9812318f8
Noviembre de 2023
Los archivos ZIP maliciosos suelen contener un ejecutable legítimo renombrado, como SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), que se utiliza para cargar un DLL malicioso. El DLL forma parte de la familia Claimloader, que se compone de diferentes variantes de cargador de shellcode utilizadas por Hive0154 a lo largo de los años para cargar cargas útiles asociadas con las familias de puertas traseras Pubload y Toneshell.
A lo largo de 2024, se registraron más actividades de Hive0154, algunas de las cuales fueron reportadas por FatzQuatz, la cuenta de Twitter/X de StrikeReadyLabs y Hunt.io:
Nombre del señuelo
Descripción
SHA256
Fecha
Meeting Request--30-31-05.zip
Desconocido
09597c284
Mayo de 2024
EBO Brainstorming Friday 24 to
Desconocido
78a60bea56
Mayo de 2024
Attendee list template (24-6-2024).zip
Desconocido
b7d13787c8be
Junio 2024
Notice of Final Meeting.zip
Desconocido
fef713b23717
Julio de 2024
a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Desconocido
727ccc4560
Julio de 2024
Interview with Surachet
Desconocido
f00e5ff2dc47
Agosto de 2024
IISS Prague Defence Summit 2024.zip
Anteriormente se informó sobre la campaña Mustang Panda dirigida a los participantes en la Cumbre de Defensa del IISS en Praga, en noviembre de 2024.
1387ec22a339
Agosto de 2024
NDI-IRI_Election_
El nombre del archivo parece hacer referencia al informe del NDI-IRI publicado en junio de 2023 sobre las elecciones en Nigeria. El informe se encargó con el apoyo de la Agencia de Estados Unidos para el Desarrollo Internacional (USAID).
ac989df2715a
Agosto de 2024
leadership information list.zip
Desconocido
3a37a127a4253
Agosto de 2024
Request for Inputs for the 6th
El señuelo probablemente se refiere a una reunión bilateral entre Tailandia y Filipinas que tuvo lugar en octubre de 2024.
057fd248e0219
Septiembre de 2024
Bencana_Air_
El documento atractivo parece ser de la Agencia Nacional de Gestión de Desastres de Malasia (NADMA, Agensi Pengurusan Bencana Negara) y sus respuestas en curso a la Covid-19 en Malasia.
cc4e5d175fc85685
Octubre de 2024
La técnica de carga local de DLL dentro de los archivos ZIP sigue siendo la misma, pero se registraron diferentes versiones del DLL de Claimloader con cambios en el algoritmo de descifrado. Algunas de las campañas también utilizaron un DLL de Toneshell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b) directamente.
X-Force observó varias campañas nuevas a finales de 2024 y principios de 2025 siguiendo los mismos TTP, que se atribuyeron al mismo subclúster Hive0154. Las últimas variantes de Claimloader también admiten la apertura de archivos PDF señuelo como parte de la rutina de instalación, antes de inyectar sus cargas útiles de shellcode. Los archivos PDF, así como los DLL, utilizan atributos de archivo para permanecer ocultos para un usuario estándar.
Dos señuelos y sus nombres de archivo señuelo asociados mencionan específicamente las tensiones sobre los mares del sur de China entre China y Filipinas, y el gobierno de Filipinas pide una estrecha cooperación militar con Estados Unidos a la luz de las crecientes actividades del ejército chino. Es probable que estos desarrollos susciten un mayor interés por parte de los destinatarios, quienes pueden estar más inclinados a abrir el archivo adjunto. Dichos destinatarios pueden incluir al personal gubernamental, militar y diplomático de Filipinas, y también pueden involucrar al personal militar y del gobierno de Estados Unidos cuyo deber podría justificar involucrarse en el tema presentado por los nombres de archivo.
Nombre del señuelo
Nombre del archivo Decoy
DLL asociado SHA256
Fecha
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
Octubre de 2024
Defense_
2025.pdf
a6dfb41bbad08e3f
Noviembre de 2024
Ambos señuelos cargan un DLL de Claimloader, que carga la misma puerta trasera Toneshell que se detalla más adelante.
Claimloader es una familia de cargadores utilizados por Hive0154 en el pasado para cargar varias cargas útiles de shellcode, incluidos Toneshell y Pubload. A lo largo de los años, ha evolucionado a varias versiones diferentes con diferentes funcionalidades.
Una de las primeras muestras, compilada a fines de 2021, fue publicada por Unit42 de Palo Alto.. Utiliza una técnica interesante, copiando shellcode en un búfer a través de la API UuidFromStringA. Además, ejecuta el shellcode como una función de devolución de llamada pasada a EnumSystemLanguageGroupsA.
El grupo NCC informó previamente sobre una técnica similar.
En noviembre de 2022, LAC informó sobre una variante de Claimloader probablemente dirigida a organizaciones de gobierno en Filipinas en una cadena de infección casi exactamente igual a la actividad en 2023-2024 detallada en las secciones anteriores. La variante almacena su carga útil en bloques de 32 bytes de cadenas de pila cifradas, antes de descifrar cada uno de ellos. También copia el ejecutable legítimo y la DLL de Claimloader en un nuevo directorio antes de intentar establecer la persistencia a través del registro o las tareas programadas, lo que lo convierte en un instalador además de un cargador.
Al ejecutarse, el malware comienza creando un mutex codificado para garantizar que solo se ejecute una única instancia de Claimloader. A continuación, comprueba si hay un argumento de línea de comandos específico, que no está presente en la primera ejecución. Si ese es el caso, Claimloader copiará tanto el EXE como el DLL en un nuevo directorio discreto, a menudo en "C:\ProgramData\", imitando un directorio de software como:
Este comportamiento es utilizado por la mayoría de las muestras más recientes de Claimloader y también puede conducir a ejecuciones fallidas de sandbox.
A continuación, el malware establece la persistencia en el inicio de sesión almacenando la ruta del EXE con el argumento correcto de la línea de comandos en una nueva clave de registro nuevamente con un nombre de software discreto en:
Claimloader también utiliza un mecanismo de persistencia secundario creando el siguiente proceso para crear una tarea programada, que ejecutará el cargador cada 5 minutos:
Tenga en cuenta que las técnicas exactas pueden desviarse; una muestra, por ejemplo, utilizó objetos COM para programar la tarea conectándose a la interfaz ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
Los algoritmos de descifrado de Claimloader han variado en muestras entre DES (última versión), al menos dos implementaciones de rutinas de descifrado basadas en AES y XOR que utilizan una semilla codificada para generar un flujo de claves a través de la función _srand():
Para ejecutar sus cargas útiles después del descifrado, la mayoría de las variantes de Claimloader utilizan API con funciones de devolución de llamada, pero también hay variantes que crean un nuevo hilo o llaman directamente a la carga útil como una función.
A continuación se muestra una tabla de diferentes ejemplos de Claimloader y sus técnicas:
Muestra SHA256
Nombre de DLL
Persistencia
Descifrado
Técnica de ejecución
3af7807efb105
Amind
Registry and scheduled
Secuencia de claves _srand()
EnumPropsExW
8957c8de9032
libemb
AES
Llamada directa
d665f55555f87
CCleaner
Nula
AES, con carga útil almacenada en cadenas de pila
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
Registro y tarea programada "jxbrowser-chromiumim"
AES
EnumFontsW
a6dfb41bbad08
jx
Registro y tarea programada "jxbrowser-chromiumim"
AES
EnumFontsW
900af2b8d03b4
helper_
Registro y tarea programada "Wargaming
Secuencia de claves _srand()
EnumFontsW
4c66e7ebf2ca2e
helper_
Registro y tareas programadas "NVIDIA_
DES
EnumFontsW
Varias muestras recientes han agregado soporte para mostrar un PDF de señuelo durante la primera ejecución de Claimloader.
Después de abrir el archivo PDF para el usuario, Claimloader elimina los atributos de archivo "Sistema" y "Oculto" para que el PDF sea visible permanentemente para el usuario en la carpeta abierta.
La última variante de Claimloader en el momento de la publicación utiliza nombres de API y DLL ofuscados, que están cifrados con XOR con 0x99. Durante la ejecución, el cargador descifra las cadenas y llama a LdrLoadDll y LdrGetProcedureAddress para resolver los punteros de función de las API que necesita.
Ambos archivos DLL de Claimloader asociados con los señuelos del Mar de China Meridional cargan la misma puerta trasera Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) como shellcode, que es un PE válido al mismo tiempo.
El encabezado de DOS se modificó para incluir un pequeño código auxiliar para llamar a otra función en el desplazamiento 0x4200, al tiempo que proporcionaba la dirección base del PE como argumento. Esta función de cargador continúa cargando manualmente el PE, resolviendo las importaciones necesarias y asignando las secciones a la memoria. Esta técnica permite a los desarrolladores de malware convertir un PE válido en shellcode después de la compilación.
La familia Toneshell comprende un gran arsenal de diferentes variantes y ha evolucionado significativamente con el tiempo. Aunque comparte fuertes superposiciones de código con la puerta trasera Pubload, X-Force lo rastrea por separado. Las variantes pueden diferir en los mecanismos C2, los protocolos C2 personalizados, los comandos compatibles y los hashes de API. X-Force también agrupa varias versiones de un marco de gusano USB llamado "Tonedisk" en la familia Toneshell.
La puerta trasera Toneshell de la campaña anterior es una variante relativamente sencilla y está diseñada para establecer un shell inverso a través de su servidor C2.
Comienza resolviendo sus API y creando un nuevo GUID a través de CoCreateGUID. Los 16 bytes resultantes se utilizan como identificador único de víctima y se escriben en un nuevo archivo:
A continuación, crea un nuevo evento "Fool87012900137", que utiliza como mutex para asegurar que sea la única instancia en ejecución. Toneshell inicializa su estructura principal con la dirección del servidor C2 (45[.]136[.]254[.]193:443), el GUID y el nombre de la computadora de la víctima, entre otros valores de configuración. También inicializa una implementación del PRNG "rand" de Microsoft.
Para cada baliza que consulta el servidor C2 en busca de comandos, Toneshell genera la siguiente clave de 256 bytes a partir del PRNG, que se utiliza para cifrar la comunicación C2, el GUID y el nombre de la computadora.
Las balizas TCP contienen los siguientes valores formateados con un encabezado que imita un paquete de datos de aplicación TLS (17 03 03):
Toneshell espera una respuesta similar del servidor:
Después de descifrar la respuesta, el primer byte se analiza como un valor de comando, el segundo byte se utiliza como identificador para los pipes creados y el resto como carga útil del comando.
Antes de procesar el comando, Toneshell crea un nuevo hilo que envía señales de respuesta similares a latidos cada 30 segundos. Cada baliza también debe enviar el byte más bajo correcto de los siguientes 4 bytes generados por el flujo de claves PRNG inicializado para verificar la integridad de la comunicación con el servidor C2. Estas balizas tienen el siguiente formato:
Esta versión de Toneshell admite los siguientes códigos de comando C2:
Código
Descripción
1
Esperar: continuará esperando comandos con una carga útil no vacía.
2
Crear un nuevo archivo (eliminar si ya existe)
3
Escribir datos en un archivo
4
Escribir datos en un archivo y confirmar a través de la baliza de respuesta
5
Crear un shell inverso mediante pipes
6
Escribir el comando de shell en el pipe
7
Terminar el shell inverso
Para crear un shell inverso, Toneshell configura dos pipes anónimos y crea un nuevo proceso cmd.exe utilizando los pipes para escribir datos en stdin y leer datos de stdout y stderr.
Al agregar los identificadores a los pipes a la estructura STARTUPINFO del nuevo proceso, Toneshell puede ejecutar comandos arbitrarios simplemente escribiendo en el pipe. En un nuevo hilo, Toneshell echa un vistazo al pipe para obtener una nueva salida utilizando PeekNamedPipe cada 100 ms. Cualquier dato nuevo se lee del pipe y se retransmite al servidor C2.
En febrero de 2025, X-Force observó una campaña Hive0154 que entregaba la puerta trasera Pubload a través de variantes similares de Claimloader como se describe anteriormente. Los cuatro ejemplos a continuación comparten el mismo servidor C2 218[.]255[.]96[.]245:443
Nombre del señuelo
País del remitente
Nombre del DLL de Claimloader
Claimloader Mutex
DLL SHA256
Fecha
BLA,BLF,
Pakistán
SolidPDF
TB2025
c7efd45aa7
12 de febrero de 2025
Desconocido
Hong Kong
SolidPDF
MTM2025
087ccc7f6c02
11 de marzo de 2025
(The_
Filipinas
chrome_
CATM2025
216188ee52b0
20 de marzo de 2025
NSC_
Estados Unidos
helper_
GameBox
900af2b8d03b
17 de abril de 2025
Invitation to
Filipinas
helper_
GameGpu
4c66e7ebf2ca2
29 de abril de 2025
豐德電廠
Desconocido (probablemente Taiwán)
helper_
GameFind
112118aad0db9ff
7 de mayo de 2025
英諾飛保
Taiwán
helper_
Desconocido
Desconocido
8 de mayo de 2025
Invitation letter
Desconocido
helper_
GameBox
7476d6b375d8
9 de mayo de 2025
En el caso del archivo LNK anterior, ejecuta el ejecutable legítimo renombrado para iniciar la carga lateral de DLL de Claimloader:
Uno de los archivos ZIP armados contenía un ejecutable legítimo renombrado como “BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe”. Es probable que el señuelo sea una referencia al Ejército de Liberación de Baluchistán (BLA), un grupo separatista militante, y otros grupos militantes asociados que reclaman la creación de una nueva nación de Baluchistán. El uso de tales nombres en el señuelo es probablemente el esfuerzo de un atacante para que los destinatarios interesados sigan la instrucción adjunta.
Otro archivo, “NSC_Meeting_Minutes_Apr2025.lnk”, puede hacer referencia a una reunión del Consejo de Seguridad Nacional de EE. UU. y a las supuestas notas tomadas, que serían de interés para personas del gobierno de EE. UU. u otras personas involucradas en inteligencia, académicos o periodismo relacionados con asuntos gubernamentales de EE. UU. Al igual que en el señuelo "BLA" potencialmente dirigido a funcionarios paquistaníes, este señuelo puede estar dirigido a una audiencia estadounidense con un nombre de archivo cautivo para atraer a los destinatarios a hacer clic en el archivo adjunto.
Un nombre de archivo, “Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe”, puede referirse a una próxima cumbre de la Asociación de Naciones del Sudeste Asiático (ASEAN) los días 26 y 27 de mayo de 2025 en Malasia.
El nombre de archivo, “豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe”, puede referirse a la factura de pago de la planta de energía Fongde de Taiwán alrededor de abril/mayo de 2015.
El último archivo, “英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe”, puede referirse a un supuesto acuerdo de confidencialidad entre dos empresas aeroespaciales taiwanesas relacionado con el mantenimiento de vehículos aéreos no tripulados (UAV) y aeronaves.
Pubload es una puerta trasera descrita por primera vez por Cisco Talos en 2022 como un stager sin nombre. Tenga en cuenta que X-Force identifica el cargador del shellcode como Claimloader y el descargador de shellcode de primera etapa como Pubload, mientras que los informes de TrendMicro identifican a ambos como Pubload. Claimloader se ha utilizado para cargar tanto Pubload como Toneshell. El equipo T5 rastrea a Pubload y Pubshell como NoFive.
La carga útil del shellcode de Pubload comienza con XOR descifrando el resto de su shellcode mediante una clave XOR de 32 bytes:
Esta rutina de autodescifrado solo se agregó a partir de la segunda de las cuatro muestras de Claimloader mencionadas arriba. Después del descifrado, resuelve todas sus API necesarias, ofuscadas a través del algoritmo ROR13. A continuación, asigna nueva memoria y configura su estructura principal con una dirección de servidor C2 y una clave de cifrado, antes de iniciar su comportamiento principal.
El ciclo principal de Pubload comienza enumerando los siguientes valores:
Estos valores están formateados como la primera carga útil de la baliza:
La carga útil se cifra usando la clave codificada en cuatro bucles XOR consecutivos con diferentes desplazamientos de clave:
Al igual que Toneshell, la carga útil cifrada se coloca en un paquete de datos de aplicación TLS falso:
El paquete TCP se envía a su servidor C2 codificado en
A cambio, Pubload espera una respuesta analizada como
Después de descifrar correctamente la carga útil, se espera que el primer byte sea 0x06, mientras que el resto de los datos se analizan como la siguiente estructura para descifrar XOR y la carga útil del shellcode recibida:
Finalmente, Pubload agrega la opción de protección de memoria PAGE_EXECUTE_READWRITE necesaria y ejecuta el shellcode, mientras proporciona la información enumerada del sistema y el servidor C2 como argumentos.
La carga útil de shellcode (Pubshell) descargada inmediatamente por Pubload muestra varias similitudes con la variante Toneshell analizada anteriormente y tiene la misma funcionalidad: crear un shell inverso a través de pipes.
Comienza con el procedimiento de configuración habitual, resolviendo las API, asignando memoria e inicializando su estructura principal y la misma clave que su muestra principal de Pubload.
La primera baliza es como la de Pubload, excepto por el primer byte de la carga útil (código de la baliza), que es 0x0B.
Nuevamente, el primer byte de la respuesta descifrada actúa como un código de comando para determinar el comportamiento de Pubshell:
Código de comando
Descripción
1
Restablecer el ID de la víctima al número de serie inicial ofuscado
3
Establecer un nuevo ID de víctima
4
Establecer la frecuencia de baliza en segundos (el valor inicial es 10s)
5
Deja de hacer balizas
26
Eliminar archivo
27
Crear nuevo archivo
29
Escribir datos en un archivo recién creado
30
Crear un shell inverso mediante pipes
31
Escribir un nuevo comando en pipe
32
Terminar el shell inverso y cerrar todos los identificadores y procesos asociados
48
Leer el resultado del comando (stdin, stderr) desde pipe
Al igual que Toneshell, Pubshell devuelve diferentes códigos de respuesta a su servidor C2, dependiendo del resultado de un comando. Por ejemplo, tanto los comandos para crear un nuevo archivo (27) como para escribir en ese archivo (29) devolverán el código 42 en caso de éxito y 43 en caso de falla. Además, Pubshell también incluye cadenas de mensajes de error más detalladas, como:
También se observaron cadenas similares en otras variantes de Toneshell.
La implementación de Pubshell del shell inverso a través de pipes anónimos es casi idéntica a Toneshell. Sin embargo, en lugar de ejecutar un nuevo hilo para devolver inmediatamente cualquier resultado, Pubshell requiere un comando adicional para devolver los resultados del comando. También solo admite la ejecución de "cmd.exe" como un shell.
En varios sentidos, Pubload y Pubshell parecen ser una "versión ligera" desarrollada de forma independiente de Toneshell, con menos sofisticación y superposiciones de código claras.
En diciembre de 2024, X-Force observó actividad adicional de Hive0154 dirigida a Taiwán con la puerta trasera Pubload. En marzo, X-Force se comprometió con una importante empresa de fabricación para investigar una infección de Pubload en Taiwán. En el incidente, los actores de amenazas hicieron uso del gusano USB HIUPAN para propagar Claimloader y Pubload a través de dispositivos USB. Es probable que el gusano se utilice como carga útil complementaria en las infecciones iniciales de Pubload para aumentar el número de infecciones y llegar potencialmente a redes que podrían estar aisladas. La relación de ambas variantes de malware fue documentada previamente por Trend Micro.
HIUPAN (también conocido como U2DiskWatch) es un gusano USB, cuyo DLL principal "u2ec.dll" se descarga a través de un EXE legítimo "UsbConfig.exe" cuando un usuario lo ejecuta involuntariamente desde un dispositivo USB. El gusano realiza las siguientes tareas:
HIUPAN utiliza un archivo de configuración "$.ini" para almacenar un multiplicador de suspensión y los nombres de archivo de sus componentes y el malware que lo acompaña. Esto hace que sea extremadamente fácil configurar el gusano para propagar cualquier malware simplemente intercambiando archivos de carga útil y la configuración basada en texto.
El archivo de configuración observado en las infecciones con sede en Taiwán que propagan Claimloader y Pubload se muestra a continuación:
Código de comando
Descripción
1
Restablecer el ID de la víctima al número de serie inicial ofuscado
3
Establecer un nuevo ID de víctima
4
Establecer la frecuencia de baliza en segundos (el valor inicial es 10s)
5
Deja de hacer balizas
26
Eliminar archivo
27
Crear nuevo archivo
29
Escribir datos en un archivo recién creado
30
Crear un shell inverso mediante pipes
31
Escribir un nuevo comando en pipe
32
Terminar el shell inverso y cerrar todos los identificadores y procesos asociados
48
Leer el resultado del comando (stdin, stderr) desde pipe
HIUPAN no es el único gusano USB empleado por Hive0154. Varios otros marcos y variantes que distribuyen malware, como Toneshell y Pubshell, todavía se están propagando activamente y se suben regularmente a VirusTotal.
El amplio alcance operativo de Hive0154 analizado en este blog se hace evidente a través de su utilización de diversas herramientas, técnicas innovadoras y una amplia gama de víctimas potenciales. Los grupos alineados con China, como Hive0154, continuarán perfeccionando su gran arsenal de malware y mantendrán un enfoque en las organizaciones con sede en Asia oriental en los sectores público y privado. Su amplia gama de herramientas, ciclos de desarrollo frecuentes y distribución de malware basada en gusanos USB los destaca como un actor de amenazas sofisticado. Las entidades en riesgo de actividad Hive0154 deben permanecer en un estado elevado de seguridad defensiva y permanecer alertas con respecto a las técnicas mencionadas en este informe.
Indicador
Tipo de indicador
Contexto
167a842b97d0434f20e0
SHA256
Archivo armado Hive0154
41276827827b95c9b5a9f
SHA256
Archivo armado Hive0154
4fbfbf1cd2efaef1906f0bd2
SHA256
Archivo armado Hive0154
782e074601f5b17e045d7c
SHA256
Hive0154 SFX armado
a02766b3950dbb86a1293
SHA256
Archivo armado Hive0154
178e92c59afe4c59043657
SHA256
Archivo armado Hive0154
ba7c456f229adc4bd75bfb8
SHA256
Archivo armado Hive0154
4e8717c9812318f8775a94fc
SHA256
Archivo armado Hive0154
09597c2844067d8ee671313
SHA256
Archivo armado Hive0154
78a60bea5693138c771386b8
SHA256
Archivo armado Hive0154
fef713b237179f4d6bea899687
SHA256
Archivo armado Hive0154
727ccc4560fb11627870ff2cac2
SHA256
Archivo armado Hive0154
f00e5ff2dc47a7625c86ac8978
SHA256
Archivo armado Hive0154
1387ec22a3391647e25d2cb722
SHA256
Archivo armado Hive0154
ac989df2715a26df9e039e9e0d
SHA256
Archivo armado Hive0154
3a37a127a425360d00588bf652
SHA256
Archivo armado Hive0154
cc4e5d175fc85685e7f31c2e7797
SHA256
Archivo armado Hive0154
e4a4803cb04b58c07230b1368
SHA256
Archivo armado Hive0154
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Archivo armado Hive0154
b7d13787c8be72dcc584c516e7
SHA256
Archivo armado Hive0154
76cc0fd64a2fc67bc0146f04819
SHA256
Archivo armado Hive0154
c49c686c26845b9ef0913642ca
SHA256
Archivo armado Hive0154
b8865a77cb8f0706b50d4d85bf
SHA256
Archivo armado Hive0154
98c1527d4b064fcf4a95488c345
SHA256
Archivo armado Hive0154
6f5c50f37b6753366066c65b3e
SHA256
Archivo armado Hive0154
d99e33878e23582308b1e217aff
SHA256
Archivo armado Hive0154
cf61b7a9bdde2a39156d88f309f
SHA256
Muestra de Early Claimloader
93fb8b78d65a9ef790be6d2055
SHA256
DLL de Claimloader
895b8e0c1d2e4cae16508ded50
SHA256
DLL de Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL de Claimloader
3af7807efb10525196c562c1f91d2
SHA256
DLL de Claimloader
8957c8de9032b347ee1a15abbae
SHA256
DLL de Claimloader
d665f55555f87b515cb8ef1adce9
SHA256
DLL de Claimloader
c7efd45aa7dd1ecd05571f15d83e
SHA256
DLL de Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL de Claimloader
8f4ee5e0b85020f2a040f54dccd
SHA256
DLL de Claimloader
087ccc7f6c022dc5fd40ade3ef6a
SHA256
DLL de Claimloader
216188ee52b067f761bdf3c45663
SHA256
DLL de Claimloader
900af2b8d03b40cdb027126d47
SHA256
DLL de Claimloader
4c66e7ebf2ca2ecf00379463835
SHA256
DLL de Claimloader
112118aad0db9ff6c78dce2e81d9
SHA256
DLL de Claimloader
7476d6b375d8b1962624723aab
SHA256
DLL de Claimloader
0bd114fecfd3c09820fa013d8cd8
SHA256
Puerta trasera Toneshell
5d7b9605cf85371da0849b8297
SHA256
Puerta trasera Toneshell
62087a1226c5433d6f6184d627
SHA256
Puerta trasera Toneshell
534853913ad1e9b7ae7dade841
SHA256
Puerta trasera de Pubload
2da73366f9efc0d1c05c72e404
SHA256
Puerta trasera de Pubload
b04775803e48979b68480a49
SHA256
Puerta trasera de Pubshell
b4c37e3995d5ff94754cedd49f
SHA256
Gusano USB HIUPAN
f5fd2905d90755d021e1442c34f
SHA256
Gusano USB HIUPAN
45[.]136[.]254[.]193:443
dirección IP, puerto
Servidor Toneshell C2
45[.]144[.]165[.]66
dirección IP, puerto
Servidor Toneshell C2
218[.]255[.]96[.]245:443
dirección IP, puerto
Servidor C2 de Pubload
103[.]27[.]202[.]132
dirección IP, puerto
Servidor Toneshell C2
45[.]12[.]91[.]223:443
dirección IP, puerto
Servidor C2 de Pubload
