Китайская группа хакеров Hive0154 атакует Таиланд с помощью нового USB-червя и обновлённого бэкдора

Обновлённый Toneshell, обозначенный как версия 9, практически не обнаруживается антивирусными системами - на момент публикации отчёта образец не определялся на VirusTotal. Бэкдор использует прокси-серверы, настроенные в локальной сети, чтобы маскировать свой трафик под легитимный корпоративный обмен данными. Кроме того, теперь он поддерживает два параллельных обратных шелла, что позволяет злоумышленникам одновременно выполнять команды на заражённой системе.

Ещё более специализированной угрозой стал USB-червь SnakeDisk, который активируется только на устройствах с таиландскими IP-адресами. После проверки геолокации червь заражает подключённые USB-накопители, перемещает пользовательские файлы в скрытые папки и создаёт на диске исполняемый файл, название которого совпадает с меткой тома. При извлечении накопителя или при запуске с определённым аргументом командной строки SnakeDisk дешифрует и запускает полезную нагрузку - бэкдор Yokai, ранее использовавшийся в атаках на чиновников Таиланда в декабре 2024 года.

Группировка Hive0154 уже несколько лет ассоциируется с кампаниями кибершпионажа против государственных учреждений, аналитических центров и частных компаний по всему миру. Её методы и инструменты постоянно развиваются, а активность пересекается с другими известными кластерами, такими как Mustang Panda, Stately Taurus и Camaro Dragon.

Появление SnakeDisk совпало с обострением геополитической обстановки в регионе. В мае-июле 2025 года произошли несколько пограничных инцидентов между Таиландом и Камбоджей, сопровождавшихся дипломатическими скандалами и даже обвинениями в подготовке покушения. Учитывая традиционно тесные связи Камбоджи с Китаем, эксперты не исключают, что атаки Hive0154 могут быть частью более широкой разведывательной операции.

Анализ кода SnakeDisk выявил значительное сходство с более ранним USB-червем Tonedisk, также связанным с Hive0154. Оба используют схожие механизмы распространения, шифрования конфигурации и техники sideloading (подмены DLL). Это подтверждает, что группировка активно повторно использует и дорабатывает свои инструменты.

Для защиты от подобных угроз специалисты рекомендуют организациям усилить мониторинг сетевой активности, обращая внимание на TLS-пакеты без предварительного рукопожатия, а также проверять подключаемые USB-устройства на наличие скрытых исполняемых файлов и директорий. Важно соблюдать осторожность при открытии вложений из почты или облачных хранилищ, даже если они выглядят как легитимные документы.

Группировка Hive0154 продолжает оставаться одной из самых технологически оснащённых и активных угроз в области кибершпионажа. Её дальнейшая активность, вероятно, будет связана с целевыми атаками на правительственные и экономические структуры в Юго-Восточной Азии и за её пределами.

IPv4

• 123.253.34.44
• 146.70.29.229
• 188.208.141.196

Domains

• www.slickvpn.com

URLs

• http://118.174.183.89/kptinfo/import/index.php

SHA256

• 05eb6a06b404b6340960d7a6cf6b1293e706ce00d7cba9a8b72b3780298dc25d
• 0d632a8f6dd69566ad98db56e53c8f16286a59ea2bea81c2761d43b6ab4ecafd
• 1272a0853651069ed4dc505007e8525f99e1454f9e033bcc2e58d60fdafa4f02
• 318a1ebc0692d1d012d20d306d6634b196cc387b1f4bc38f97dd437f117c7e20
• 35bec1d8699d29c27b66e5646e58d25ce85ea1e41481d048bcea89ea94f8fb4b
• 38fcd10100f1bfd75f8dc0883b0c2cb48321ef1c57906798a422f2a2de17d50c
• 39e7bbcceddd16f6c4f2fc2335a50c534e182669cb5fa90cbe29e49ec6dfd0df
• 564a03763879aaed4da8a8c1d6067f4112d8e13bb46c2f80e0fcb9ffdd40384c
• 69cb87b2d8ee50f46dae791b5a0c5735a7554cc3c21bb1d989baa0f38c45085c
• 7087e84f69c47910fd39c3869a706e55324783af8d03465a9e7bfde52fe4d1d6
• 8132beeb25ce7baed0b561922d264b2a9852957df7b6a3daacfbb3a969485c79
• 9ca5b2cbc3677a5967c448d9d21eb56956898ccd08c06b372c6471fb68d37d7d
• b8c31b8d8af9e6eae15f30019e39c52b1a53aa1c8b0c93c8d075254ed10d8dfc
• bb5bb82e5caf7d4dbbe878b75b23f793a5f3c5ca6dba70d8be447e8c004d26ce
• bdbc936ddc9234385317c4ee83bda087e389235c4a182736fc597565042f7644
• c2d1ff85e9bb8feb14fd015dceee166c2e52e2226c07e23acc348815c0eb4608
• d1466dca25e28f0b7fae71d5c2abc07b397037a9e674f38602690e96cc5b2bd4
• dd694aaf44731da313e4594d6ca34a6b8e0fcce505e39f8273b9242fdf6220e0
• e4bb60d899699fd84126f9fa0dff72314610c56fffca3d11f3b6fc93fcb75e00
• e7b29611c789a6225aebbc9fee3710a57b51537693cb2ec16e2177c22392b546
• f0fec3b271b83e23ed7965198f3b00eece45bd836bf10c038e9910675bafefb1
• f8b28cae687bd55a148d363d58f13a797486f12221f0e0d080ffb53611d54231