Hive0154 se dirige a Estados Unidos, Filipinas, Pakistán y Taiwán en una supuesta campaña de espionaje

la Tierra desde el espacio con líneas digitales que conectan puntos del planeta

Autores

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

A partir de mayo de 2025, IBM X-Force está rastreando una supuesta campaña de espionaje utilizando archivos ZIP armados para distribuir puertas traseras Pubload y Toneshell. X-Force atribuye esta campaña, que probablemente comenzó a fines de 2024, al actor de amenazas alineado con China Hive0154, cuyas operaciones se superponen con grupos rastreados como Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris y Earth Preta. Los archivos contienen señuelos de temática política probablemente diseñados para atraer al personal de gobierno, militar y diplomático en Filipinas, Estados Unidos y Pakistán. Los subclústeres Hive0154 han utilizado tácticas similares en el pasado. En concreto, han utilizado el malware Claimloader para instalar puertas traseras persistentes que facilitan el acceso directo a los entornos de las víctimas con el fin de obtener insight avanzado sobre las decisiones emergentes de los gobiernos mundiales. X-Force también ha observado que el grupo emplea un gusano USB para propagar Pubload en Taiwán, llegando potencialmente a redes que podrían estar aisladas.

Principales conclusiones

  • Hive0154 es un actor de amenazas bien establecido alineado con China con un gran arsenal de malware, técnicas congruentes y actividad bien documentada en los últimos años
  • Entre el arsenal de malware, X-Force descubrió una serie de herramientas diseñadas para atacar a una audiencia específica, probablemente el gobierno, el personal militar y diplomático de Filipinas, Estados Unidos y Pakistán.
  • El descubrimiento de X-Force sugiere el uso de Hive0154 de temas geopolíticos adaptados a audiencias separadas: 1. Filipinas, utilizando las tensiones del Mar de China Meridional; 2. Pakistán, utilizando las actividades de los separatistas de Baluchistán; y 3. Estados Unidos, utilizando notas de reunión del Consejo de Seguridad Nacional falsificadas
  • Estos ataques personalizados sugieren que Hive0154 probablemente intenta obtener inteligencia sobre las posibles estrategias e intenciones de la administración estadounidense y los países vecinos a China
  • Uno de los subclústeres de Hive0154 ha utilizado constantemente variantes de Claimloader en evolución para desplegar puertas traseras Pubload y Toneshell relacionadas y entidades objetivo en Europa, la región de Asia-Pacífico y Estados Unidos.
  • X-Force investigó la actividad reciente en Taiwán, donde se utilizó el gusano USB HIUPAN para propagar la puerta trasera Pubload a una importante empresa manufacturera. Hive0154 también utiliza nombres de archivo relacionados con facturas y documentos legales como señuelos para dirigirse a Taiwán en mayo de 2025

Resumen de Hive0154

Desde al menos 2022, Hive0154 ha utilizado la familia de malware Toneshell, entre otros, para realizar operaciones cibernéticas en todo el mundo. El malware relacionado con Toneshell, como Pubload y Pubshell (también conocido como NoFive), indica que el grupo mantiene líneas de malware separadas como parte de sus operaciones. El grupo consta de múltiples subclústeres y se dirige a organizaciones públicas y privadas, incluyendo think tanks, grupos de políticas, agencias de gobierno y particulares. X-Force evalúa que este actor de amenazas es una amenaza capaz, como lo demuestra el uso de múltiples cargadores de malware independientes, familias de gusanos de puerta trasera y USB, y los informes constantes de su actividad por parte de varios equipos de investigación de seguridad.

Hombre mirando una computadora

Fortalezca su inteligencia de seguridad  

Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think.  

Actividad anterior

En 2023, Palo Alto informó que uno de los subclústeres Hive0154 que rastrea X-Force estaba utilizando varios señuelos para difundir la puerta trasera Pubload. Algunos de los señuelos a continuación también coinciden con una campaña contra Myanmar según lo informado por CSIRT CTI en enero de 2024. Los señuelos que aparecen a continuación muestran el interés continuo de China en los países del sudeste asiático y en Australia.

Nombre del señuelo

Descripción

SHA256

Fecha

Notice re UEC, (04-25-2023 Day).zip

Desconocido

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

Abril de 2023

April 27 updated party list.zip

Desconocido

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

Abril de 2023

Biography of Senator the Hon Don Farrell.zip

El nombre del archivo parece ser una copia directa del título que aparece en el sitio web de Comercio y Turismo de Australia sobre el ministro de Comercio australiano.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

Abril de 2023

SAC tiene algunos requisitos de instrucción para las elecciones generales

Desconocido

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

Abril de 2023

National Security Priority Programs.zip

Desconocido

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

Mayo de 2023

230605 Ministerial meeting minutes (1).zip

El archivo puede ser una referencia a la declaración realizada en París el 8 de junio de 2023 por ministros de Australia, Canadá, Japón, Estados Unidos, Reino Unido y Nueva Zelanda sobre prácticas comerciales abusivas relacionadas con la región de Asia y el Pacífico.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

Junio de 2023

NUG's Foreign Policy Strategy.zip

El texto aparece en esta página web de CSIS Indonesia, en relación con una situación que se desarrolla en Myanmar, que está envuelta en una guerra civil, con informes que sugieren que China está considerando enviar personal de seguridad en apoyo del gobierno de la junta militar de Myanmar, según informes de diciembre de 2024.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

Agosto de 2023

Analysis of the third meeting of NDSC.zip

El archivo puede haber sido parte de una campaña previamente denunciada contra el gobierno de Myanmar por parte de Stately Taurus a principios de 2024. Alrededor de octubre de 2023, Myanmar se vio envuelta en una guerra civil entre la facción rebelde y las fuerzas del gobierno, donde las fuerzas rebeldes han tomado efectivamente el control de una ruta comercial clave para China. 

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

Noviembre de 2023

    

Los archivos ZIP maliciosos suelen contener un ejecutable legítimo renombrado, como SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), que se utiliza para cargar un DLL malicioso. El DLL forma parte de la familia Claimloader, que se compone de diferentes variantes de cargador de shellcode utilizadas por Hive0154 a lo largo de los años para cargar cargas útiles asociadas con las familias de puertas traseras Pubload y Toneshell.

A lo largo de 2024, se registraron más actividades de Hive0154, algunas de las cuales fueron reportadas por FatzQuatz, la cuenta de Twitter/X de StrikeReadyLabs y Hunt.io:

Nombre del señuelo

Descripción

SHA256

Fecha

Meeting Request--30-31-05.zip

Desconocido

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

Mayo de 2024

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

Desconocido

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

Mayo de 2024

Attendee list template (24-6-2024).zip

Desconocido

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

Junio 2024

Notice of Final Meeting.zip

Desconocido

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

Julio de 2024

a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Competitiveness
on the World Stage.pptx

Desconocido

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

Julio de 2024

Interview with Surachet
Praweewongwut.rar

Desconocido

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

Agosto de 2024

IISS Prague Defence Summit 2024.zip

Anteriormente se informó sobre la campaña Mustang Panda dirigida a los participantes en la Cumbre de Defensa del IISS en Praga, en noviembre de 2024.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

Agosto de 2024

NDI-IRI_Election_
Observation_
Mission_Report.zip

El nombre del archivo parece hacer referencia al informe del NDI-IRI publicado en junio de 2023 sobre las elecciones en Nigeria. El informe se encargó con el apoyo de la Agencia de Estados Unidos para el Desarrollo Internacional (USAID).

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

Agosto de 2024

leadership information list.zip

Desconocido

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

Agosto de 2024

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

El señuelo probablemente se refiere a una reunión bilateral entre Tailandia y Filipinas que tuvo lugar en octubre de 2024.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(EXE legítimo,
correspondiente
DLL desconocido)

Septiembre de 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

El documento atractivo parece ser de la Agencia Nacional de Gestión de Desastres de Malasia (NADMA, Agensi Pengurusan Bencana Negara) y sus respuestas en curso a la Covid-19 en Malasia. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

Octubre de 2024

    

La técnica de carga local de DLL dentro de los archivos ZIP sigue siendo la misma, pero se registraron diferentes versiones del DLL de Claimloader con cambios en el algoritmo de descifrado. Algunas de las campañas también utilizaron un DLL de Toneshell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b) directamente. 

Tensiones por el Mar de China Meridional

X-Force observó varias campañas nuevas a finales de 2024 y principios de 2025 siguiendo los mismos TTP, que se atribuyeron al mismo subclúster Hive0154. Las últimas variantes de Claimloader también admiten la apertura de archivos PDF señuelo como parte de la rutina de instalación, antes de inyectar sus cargas útiles de shellcode. Los archivos PDF, así como los DLL, utilizan atributos de archivo para permanecer ocultos para un usuario estándar.

Dos señuelos y sus nombres de archivo señuelo asociados mencionan específicamente las tensiones sobre los mares del sur de China entre China y Filipinas, y el gobierno de Filipinas pide una estrecha cooperación militar con Estados Unidos a la luz de las crecientes actividades del ejército chino. Es probable que estos desarrollos susciten un mayor interés por parte de los destinatarios, quienes pueden estar más inclinados a abrir el archivo adjunto. Dichos destinatarios pueden incluir al personal gubernamental, militar y diplomático de Filipinas, y también pueden involucrar al personal militar y del gobierno de Estados Unidos cuyo deber podría justificar involucrarse en el tema presentado por los nombres de archivo.

Nombre del señuelo

Nombre del archivo Decoy

DLL asociado SHA256

Fecha

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

Octubre de 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

Noviembre de 2024

Ambos señuelos cargan un DLL de Claimloader, que carga la misma puerta trasera Toneshell que se detalla más adelante. 

Claimloader

Claimloader es una familia de cargadores utilizados por Hive0154 en el pasado para cargar varias cargas útiles de shellcode, incluidos Toneshell y Pubload. A lo largo de los años, ha evolucionado a varias versiones diferentes con diferentes funcionalidades.

Una de las primeras muestras, compilada a fines de 2021, fue publicada por Unit42 de Palo Alto.. Utiliza una técnica interesante, copiando shellcode en un búfer a través de la API UuidFromStringA. Además, ejecuta el shellcode como una función de devolución de llamada pasada a EnumSystemLanguageGroupsA.

Código de muestra de Early Claimloader
Fig. 1: Muestra de Early Claimloader (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

El grupo NCC informó previamente sobre una técnica similar.

En noviembre de 2022, LAC informó sobre una variante de Claimloader probablemente dirigida a organizaciones de gobierno en Filipinas en una cadena de infección casi exactamente igual a la actividad en 2023-2024 detallada en las secciones anteriores. La variante almacena su carga útil en bloques de 32 bytes de cadenas de pila cifradas, antes de descifrar cada uno de ellos. También copia el ejecutable legítimo y la DLL de Claimloader en un nuevo directorio antes de intentar establecer la persistencia a través del registro o las tareas programadas, lo que lo convierte en un instalador además de un cargador.

Al ejecutarse, el malware comienza creando un mutex codificado para garantizar que solo se ejecute una única instancia de Claimloader. A continuación, comprueba si hay un argumento de línea de comandos específico, que no está presente en la primera ejecución. Si ese es el caso, Claimloader copiará tanto el EXE como el DLL en un nuevo directorio discreto, a menudo en "C:\ProgramData\", imitando un directorio de software como:

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

Este comportamiento es utilizado por la mayoría de las muestras más recientes de Claimloader y también puede conducir a ejecuciones fallidas de sandbox. 

A continuación, el malware establece la persistencia en el inicio de sesión almacenando la ruta del EXE con el argumento correcto de la línea de comandos en una nueva clave de registro nuevamente con un nombre de software discreto en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Claimloader también utiliza un mecanismo de persistencia secundario creando el siguiente proceso para crear una tarea programada, que ejecutará el cargador cada 5 minutos:

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

Tenga en cuenta que las técnicas exactas pueden desviarse; una muestra, por ejemplo, utilizó objetos COM para programar la tarea conectándose a la interfaz ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

Los algoritmos de descifrado de Claimloader han variado en muestras entre DES (última versión), al menos dos implementaciones de rutinas de descifrado basadas en AES y XOR que utilizan una semilla codificada para generar un flujo de claves a través de la función _srand():

Descifrado AES 128 ECB de Claimloader
Fig. 2: Descifrado AES 128 ECB de Claimloader (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
Claimloader que utiliza una suma de comprobación y _srand() sembrado para generar un flujo de claves durante el descifrado
Fig. 3: Claimloader que utiliza una suma de comprobación y _srand() sembrado para generar un flujo de claves durante el descifrado (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

Para ejecutar sus cargas útiles después del descifrado, la mayoría de las variantes de Claimloader utilizan API con funciones de devolución de llamada, pero también hay variantes que crean un nuevo hilo o llaman directamente a la carga útil como una función.

A continuación se muestra una tabla de diferentes ejemplos de Claimloader y sus técnicas:

Muestra SHA256

Nombre de DLL

Persistencia

 Descifrado

 Técnica de ejecución

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

Registry and scheduled
task "Amind
PDF"

 Secuencia de claves _srand()

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll



Registro y tarea programada a través de COM "Fhbemb Update"

 AES

Llamada directa

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

Nula

 AES, con carga útil almacenada en cadenas de pila

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

Registro y tarea programada "jxbrowser-chromiumim"

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

Registro y tarea programada "jxbrowser-chromiumim"

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

Registro y tarea programada "Wargaming
Group"

 Secuencia de claves _srand()

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

Registro y tareas programadas "NVIDIA_
GPU_Core"

 DES

EnumFontsW

Varias muestras recientes han agregado soporte para mostrar un PDF de señuelo durante la primera ejecución de Claimloader.

Claimloader abre un PDF señuelo durante la ejecución y elimina sus atributos de archivo
Fig. 4: Claimloader abriendo un PDF señuelo durante la ejecución y eliminando sus atributos de archivo

Después de abrir el archivo PDF para el usuario, Claimloader elimina los atributos de archivo "Sistema" y "Oculto" para que el PDF sea visible permanentemente para el usuario en la carpeta abierta. 

La última variante de Claimloader en el momento de la publicación utiliza nombres de API y DLL ofuscados, que están cifrados con XOR con 0x99. Durante la ejecución, el cargador descifra las cadenas y llama a LdrLoadDll y LdrGetProcedureAddress para resolver los punteros de función de las API que necesita.

Claimloader resuelve nombres de API cifrados con XOR
Fig. 5: Claimloader resuelve nombres de API cifrados con XOR

Toneshell 

Ambos archivos DLL de Claimloader asociados con los señuelos del Mar de China Meridional cargan la misma puerta trasera Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) como shellcode, que es un PE válido al mismo tiempo. 

Shellcode del cargador en el encabezado de DOS de la puerta trasera Toneshell
Fig. 6: Shellcode del cargador en el encabezado de DOS de la puerta trasera Toneshell

El encabezado de DOS se modificó para incluir un pequeño código auxiliar para llamar a otra función en el desplazamiento 0x4200, al tiempo que proporcionaba la dirección base del PE como argumento. Esta función de cargador continúa cargando manualmente el PE, resolviendo las importaciones necesarias y asignando las secciones a la memoria. Esta técnica permite a los desarrolladores de malware convertir un PE válido en shellcode después de la compilación. 

La familia Toneshell comprende un gran arsenal de diferentes variantes y ha evolucionado significativamente con el tiempo. Aunque comparte fuertes superposiciones de código con la puerta trasera Pubload, X-Force lo rastrea por separado. Las variantes pueden diferir en los mecanismos C2, los protocolos C2 personalizados, los comandos compatibles y los hashes de API. X-Force también agrupa varias versiones de un marco de gusano USB llamado "Tonedisk" en la familia Toneshell. 

La puerta trasera Toneshell de la campaña anterior es una variante relativamente sencilla y está diseñada para establecer un shell inverso a través de su servidor C2. 

Comienza resolviendo sus API y creando un nuevo GUID a través de CoCreateGUID. Los 16 bytes resultantes se utilizan como identificador único de víctima y se escriben en un nuevo archivo:

c:\\users\\public\\description.ini

A continuación, crea un nuevo evento "Fool87012900137", que utiliza como mutex para asegurar que sea la única instancia en ejecución. Toneshell inicializa su estructura principal con la dirección del servidor C2 (45[.]136[.]254[.]193:443), el GUID y el nombre de la computadora de la víctima, entre otros valores de configuración. También inicializa una implementación del PRNG "rand" de Microsoft.

Para cada baliza que consulta el servidor C2 en busca de comandos, Toneshell genera la siguiente clave de 256 bytes a partir del PRNG, que se utiliza para cifrar la comunicación C2, el GUID y el nombre de la computadora.

Función Toneshell para generar la clave C2 y cifrar el GUID y el nombre de la computadora
Fig. 7: Función Toneshell para generar la clave C2 y cifrar el GUID y el nombre de la computadora

Las balizas TCP contienen los siguientes valores formateados con un encabezado que imita un paquete de datos de aplicación TLS (17 03 03):

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

Toneshell espera una respuesta similar del servidor:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Después de descifrar la respuesta, el primer byte se analiza como un valor de comando, el segundo byte se utiliza como identificador para los pipes creados y el resto como carga útil del comando.

Antes de procesar el comando, Toneshell crea un nuevo hilo que envía señales de respuesta similares a latidos cada 30 segundos. Cada baliza también debe enviar el byte más bajo correcto de los siguientes 4 bytes generados por el flujo de claves PRNG inicializado para verificar la integridad de la comunicación con el servidor C2. Estas balizas tienen el siguiente formato:

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

Esta versión de Toneshell admite los siguientes códigos de comando C2:

Código

Descripción

1

Esperar: continuará esperando comandos con una carga útil no vacía.

2

Crear un nuevo archivo (eliminar si ya existe)

3

Escribir datos en un archivo

4

Escribir datos en un archivo y confirmar a través de la baliza de respuesta

5

Crear un shell inverso mediante pipes

6

Escribir el comando de shell en el pipe

7

Terminar el shell inverso

Para crear un shell inverso, Toneshell configura dos pipes anónimos y crea un nuevo proceso cmd.exe utilizando los pipes para escribir datos en stdin y leer datos de stdout y stderr. 

Toneshell utiliza pipes anónimos para crear un shell inverso
Fig. 8: Toneshell utiliza pipes anónimos para crear un shell inverso

Al agregar los identificadores a los pipes a la estructura STARTUPINFO del nuevo proceso, Toneshell puede ejecutar comandos arbitrarios simplemente escribiendo en el pipe. En un nuevo hilo, Toneshell echa un vistazo al pipe para obtener una nueva salida utilizando PeekNamedPipe cada 100 ms. Cualquier dato nuevo se lee del pipe y se retransmite al servidor C2.

Actividad a principios de 2025

En febrero de 2025, X-Force observó una campaña Hive0154 que entregaba la puerta trasera Pubload a través de variantes similares de Claimloader como se describe anteriormente. Los cuatro ejemplos a continuación comparten el mismo servidor C2 218[.]255[.]96[.]245:443

Nombre del señuelo

País del remitente

Nombre del DLL de Claimloader

Claimloader Mutex

DLL SHA256

Fecha

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 Pakistán

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 12 de febrero de 2025

Desconocido

 Hong Kong

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11 de marzo de 2025

(The_
Military_
Balance_
2025)-Page-
A.zip

 Filipinas

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 20 de marzo de 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 Estados Unidos

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17 de abril de 2025

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 Filipinas

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29 de abril de 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 Desconocido (probablemente Taiwán)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 7 de mayo de 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 Taiwán

 helper_
core.dll

 

 Desconocido

Desconocido

 8 de mayo de 2025

Invitation letter
for the
com
Workshop
- AMB.exe

 Desconocido

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9 de mayo de 2025

En el caso del archivo LNK anterior, ejecuta el ejecutable legítimo renombrado para iniciar la carga lateral de DLL de Claimloader:

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

Uno de los archivos ZIP armados contenía un ejecutable legítimo renombrado como “BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe”. Es probable que el señuelo sea una referencia al Ejército de Liberación de Baluchistán (BLA), un grupo separatista militante, y otros grupos militantes asociados que reclaman la creación de una nueva nación de Baluchistán.  El uso de tales nombres en el señuelo es probablemente el esfuerzo de un atacante para que los destinatarios interesados sigan la instrucción adjunta.

Otro archivo, “NSC_Meeting_Minutes_Apr2025.lnk”, puede hacer referencia a una reunión del Consejo de Seguridad Nacional de EE. UU. y a las supuestas notas tomadas, que serían de interés para personas del gobierno de EE. UU. u otras personas involucradas en inteligencia, académicos o periodismo relacionados con asuntos gubernamentales de EE. UU. Al igual que en el señuelo "BLA" potencialmente dirigido a funcionarios paquistaníes, este señuelo puede estar dirigido a una audiencia estadounidense con un nombre de archivo cautivo para atraer a los destinatarios a hacer clic en el archivo adjunto.

Un nombre de archivo, “Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe”, puede referirse a una próxima cumbre de la Asociación de Naciones del Sudeste Asiático (ASEAN) los días 26 y 27 de mayo de 2025 en Malasia.

El nombre de archivo, “豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe”, puede referirse a la factura de pago de la planta de energía Fongde de Taiwán alrededor de abril/mayo de 2015.

El último archivo, “英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe”, puede referirse a un supuesto acuerdo de confidencialidad entre dos empresas aeroespaciales taiwanesas relacionado con el mantenimiento de vehículos aéreos no tripulados (UAV) y aeronaves.

Pubload

Pubload es una puerta trasera descrita por primera vez por Cisco Talos en 2022 como un stager sin nombre. Tenga en cuenta que X-Force identifica el cargador del shellcode como Claimloader y el descargador de shellcode de primera etapa como Pubload, mientras que los informes de TrendMicro identifican a ambos como Pubload. Claimloader se ha utilizado para cargar tanto Pubload como Toneshell. El equipo T5 rastrea a Pubload y Pubshell como NoFive.

La carga útil del shellcode de Pubload comienza con XOR descifrando el resto de su shellcode mediante una clave XOR de 32 bytes:

Rutina de autodescifrado de shellcode de Pubload
Fig. 9: Rutina de autodescifrado de shellcode de Pubload

Esta rutina de autodescifrado solo se agregó a partir de la segunda de las cuatro muestras de Claimloader mencionadas arriba. Después del descifrado, resuelve todas sus API necesarias, ofuscadas a través del algoritmo ROR13. A continuación, asigna nueva memoria y configura su estructura principal con una dirección de servidor C2 y una clave de cifrado, antes de iniciar su comportamiento principal.

El ciclo principal de Pubload comienza enumerando los siguientes valores:

  • Número de serie del volumen de disco de la unidad C, a través de GetVolumeInformationA. Ofuscado al agregar 0x12345678, utilizado como ID de víctima
  • El recuento de ticks de la máquina a través de GetTickCount
  • El nombre de la computadora de la víctima a través de GetComputerNameA
  • El nombre de usuario de la víctima a través de GetUserNameA

Estos valores están formateados como la primera carga útil de la baliza:

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

La carga útil se cifra usando la clave codificada en cuatro bucles XOR consecutivos con diferentes desplazamientos de clave:

Bucles de cifrado XOR consecutivos de Pubload
Fig. 10: Bucles de cifrado XOR consecutivos de Pubload

Al igual que Toneshell, la carga útil cifrada se coloca en un paquete de datos de aplicación TLS falso:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

El paquete TCP se envía a su servidor C2 codificado en

218[.]255[.]96[.]245:443

A cambio, Pubload espera una respuesta analizada como

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Después de descifrar correctamente la carga útil, se espera que el primer byte sea 0x06, mientras que el resto de los datos se analizan como la siguiente estructura para descifrar XOR y la carga útil del shellcode recibida:

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

Finalmente, Pubload agrega la opción de protección de memoria PAGE_EXECUTE_READWRITE necesaria y ejecuta el shellcode, mientras proporciona la información enumerada del sistema y el servidor C2 como argumentos. 

Segunda etapa de Pubload: Pubshell

La carga útil de shellcode (Pubshell) descargada inmediatamente por Pubload muestra varias similitudes con la variante Toneshell analizada anteriormente y tiene la misma funcionalidad: crear un shell inverso a través de pipes.

Comienza con el procedimiento de configuración habitual, resolviendo las API, asignando memoria e inicializando su estructura principal y la misma clave que su muestra principal de Pubload. 

La primera baliza es como la de Pubload, excepto por el primer byte de la carga útil (código de la baliza), que es 0x0B.

Función Pubload/Pubshell para crear una baliza
Fig. 11: Función Pubload/Pubshell para crear una baliza

Nuevamente, el primer byte de la respuesta descifrada actúa como un código de comando para determinar el comportamiento de Pubshell:

Código de comando

Descripción

1

Restablecer el ID de la víctima al número de serie inicial ofuscado

3

Establecer un nuevo ID de víctima

4

Establecer la frecuencia de baliza en segundos (el valor inicial es 10s)

5

Deja de hacer balizas

26

Eliminar archivo

27

Crear nuevo archivo

29

Escribir datos en un archivo recién creado

30

Crear un shell inverso mediante pipes

31

Escribir un nuevo comando en pipe

32

Terminar el shell inverso y cerrar todos los identificadores y procesos asociados

48

Leer el resultado del comando (stdin, stderr) desde pipe

Al igual que Toneshell, Pubshell devuelve diferentes códigos de respuesta a su servidor C2, dependiendo del resultado de un comando. Por ejemplo, tanto los comandos para crear un nuevo archivo (27) como para escribir en ese archivo (29) devolverán el código 42 en caso de éxito y 43 en caso de falla. Además, Pubshell también incluye cadenas de mensajes de error más detalladas, como:

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

También se observaron cadenas similares en otras variantes de Toneshell.

La implementación de Pubshell del shell inverso a través de pipes anónimos es casi idéntica a Toneshell. Sin embargo, en lugar de ejecutar un nuevo hilo para devolver inmediatamente cualquier resultado, Pubshell requiere un comando adicional para devolver los resultados del comando. También solo admite la ejecución de "cmd.exe" como un shell.

En varios sentidos, Pubload y Pubshell parecen ser una "versión ligera" desarrollada de forma independiente de Toneshell, con menos sofisticación y superposiciones de código claras.

Dirigirse a Taiwán con HIUPAN USB Worm

En diciembre de 2024, X-Force observó actividad adicional de Hive0154 dirigida a Taiwán con la puerta trasera Pubload. En marzo, X-Force se comprometió con una importante empresa de fabricación para investigar una infección de Pubload en Taiwán. En el incidente, los actores de amenazas hicieron uso del gusano USB HIUPAN para propagar Claimloader y Pubload a través de dispositivos USB. Es probable que el gusano se utilice como carga útil complementaria en las infecciones iniciales de Pubload para aumentar el número de infecciones y llegar potencialmente a redes que podrían estar aisladas. La relación de ambas variantes de malware fue documentada previamente por Trend Micro

HIUPAN (también conocido como U2DiskWatch) es un gusano USB, cuyo DLL principal "u2ec.dll" se descarga a través de un EXE legítimo "UsbConfig.exe" cuando un usuario lo ejecuta involuntariamente desde un dispositivo USB. El gusano realiza las siguientes tareas:

  • Se copia a sí mismo y a los componentes de malware que lo acompañan en un directorio de la máquina de la víctima: C:\ProgramData\Intel\_\
  • Establece la persistencia a través de la clave de registro HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Run
  • Modifica las claves de registro para garantizar que los archivos y extensiones ocultos no sean visibles en el Explorador de Windows: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Ejecuta el ejecutable principal del malware adjunto y supervisa el proceso para reiniciar si es necesario
  • Monitorea nuevas conexiones de dispositivos USB. Si se encuentra, HIUPAN se copia a sí mismo y a los componentes de malware que lo acompañan en la nueva unidad en un subdirectorio oculto “<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_ \_\_\” y oculta cualquier otro archivo existente para garantizar que “UsbConfig.exe” sea el único archivo visible en el dispositivo

HIUPAN utiliza un archivo de configuración "$.ini" para almacenar un multiplicador de suspensión y los nombres de archivo de sus componentes y el malware que lo acompaña. Esto hace que sea extremadamente fácil configurar el gusano para propagar cualquier malware simplemente intercambiando archivos de carga útil y la configuración basada en texto.

El archivo de configuración observado en las infecciones con sede en Taiwán que propagan Claimloader y Pubload se muestra a continuación:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

Código de comando

Descripción

1

Restablecer el ID de la víctima al número de serie inicial ofuscado

3

Establecer un nuevo ID de víctima

4

Establecer la frecuencia de baliza en segundos (el valor inicial es 10s)

5

Deja de hacer balizas

26

Eliminar archivo

27

Crear nuevo archivo

29

Escribir datos en un archivo recién creado

30

Crear un shell inverso mediante pipes

31

Escribir un nuevo comando en pipe

32

Terminar el shell inverso y cerrar todos los identificadores y procesos asociados

48

Leer el resultado del comando (stdin, stderr) desde pipe

HIUPAN no es el único gusano USB empleado por Hive0154. Varios otros marcos y variantes que distribuyen malware, como Toneshell y Pubshell, todavía se están propagando activamente y se suben regularmente a VirusTotal.

Conclusión

El amplio alcance operativo de Hive0154 analizado en este blog se hace evidente a través de su utilización de diversas herramientas, técnicas innovadoras y una amplia gama de víctimas potenciales. Los grupos alineados con China, como Hive0154, continuarán perfeccionando su gran arsenal de malware y mantendrán un enfoque en las organizaciones con sede en Asia oriental en los sectores público y privado. Su amplia gama de herramientas, ciclos de desarrollo frecuentes y distribución de malware basada en gusanos USB los destaca como un actor de amenazas sofisticado. Las entidades en riesgo de actividad Hive0154 deben permanecer en un estado elevado de seguridad defensiva y permanecer alertas con respecto a las técnicas mencionadas en este informe.

Recomendaciones

  • Supervise y busque en redes paquetes de datos de aplicación TLS 1.2 (encabezado: 17 03 03) sin un protocolo de enlace TLS previo como señal de una baliza Pubload o Toneshell
  • Monitoree y busque en las redes paquetes de datos de aplicación TLS 1.3 falsos (encabezado: 17 03 04), que son utilizados por algunas variantes de Toneshell. Los paquetes TLS 1.3 reales se envían con encabezados TLS 1.2 heredados para lograr compatibilidad con versiones anteriores con proxies que solo aceptan ciertas versiones de TLS.
  • Supervise y busque unidades USB que contengan nombres de ejecutables sospechosos, DLL y directorios ocultos que podrían indicar un dispositivo infectado con un gusano USB
  • Supervise y busque directorios sospechosos y desconocidos en C:\ProgramData\ que contengan un EXE legítimo vulnerable a la carga lateral de DLL y un DLL correspondiente
  • Supervise y busque técnicas de persistencia, como la clave de ejecución del registro y las tareas programadas
  • Supervise cualquier actividad inusual de red, persistencia o modificación de archivos proveniente de ejecutables de procesos aparentemente benignos que descarguen un DLL malicioso

Indicadores de compromiso

Indicador

Tipo de indicador

Contexto

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Archivo armado Hive0154

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Archivo armado Hive0154

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Archivo armado Hive0154

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

Hive0154 SFX armado

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Archivo armado Hive0154

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Archivo armado Hive0154

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Archivo armado Hive0154

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Archivo armado Hive0154

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Archivo armado Hive0154

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Archivo armado Hive0154

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Archivo armado Hive0154

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Archivo armado Hive0154

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Archivo armado Hive0154

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Archivo armado Hive0154

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
acbb09c9050c4

SHA256

Archivo armado Hive0154

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
a752ba3c3fd

SHA256

Archivo armado Hive0154

cc4e5d175fc85685e7f31c2e7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Archivo armado Hive0154

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Archivo armado Hive0154

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Archivo armado Hive0154

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Archivo armado Hive0154

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Archivo armado Hive0154

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Archivo armado Hive0154

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
a6cab1ef5af

SHA256

Archivo armado Hive0154

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Archivo armado Hive0154

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Archivo armado Hive0154

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Archivo armado Hive0154

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Muestra de Early Claimloader

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

DLL de Claimloader

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

DLL de Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL de Claimloader

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

DLL de Claimloader

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

DLL de Claimloader

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

DLL de Claimloader

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

DLL de Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL de Claimloader

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

DLL de Claimloader

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

DLL de Claimloader

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

DLL de Claimloader

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

DLL de Claimloader

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

DLL de Claimloader

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
f71ed8ec

 

SHA256

 

DLL de Claimloader

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

DLL de Claimloader

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68ddf1023b

SHA256

Puerta trasera Toneshell

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

Puerta trasera Toneshell

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

Puerta trasera Toneshell

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
cd3f0666ead

SHA256

Puerta trasera de Pubload

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Puerta trasera de Pubload

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Puerta trasera de Pubshell

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

Gusano USB HIUPAN

f5fd2905d90755d021e1442c34f
a628d56598ae1043a7c1103bd5
e21c7706168

SHA256

Gusano USB HIUPAN

45[.]136[.]254[.]193:443

dirección IP, puerto

Servidor Toneshell C2

45[.]144[.]165[.]66

dirección IP, puerto

Servidor Toneshell C2

218[.]255[.]96[.]245:443

dirección IP, puerto

Servidor C2 de Pubload

103[.]27[.]202[.]132

dirección IP, puerto

Servidor Toneshell C2

45[.]12[.]91[.]223:443

dirección IP, puerto

Servidor C2 de Pubload

IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI, lo que ofrece inteligencia de amenazas aplicable en la práctica sobre esta actividad de amenazas y más. Acceda a insights sobre los actores de amenazas, el malware y los riesgos de la industria. Instale el OpenCTI Connector para mejorar la detección y la respuesta, reforzando su ciberseguridad con la experiencia de IBM X-Force. Manténgase a la vanguardia:integre hoy mismo.

