Китайская хакерская группа Mustang Panda атакует тибетское сообщество с помощью бэкдора Pubload

APT

В июне 2025 года исследователи IBM X-Force обнаружили новую кампанию китайской хакерской группы Hive0154, также известной как Mustang Panda. Целью атаки стало тибетское сообщество: злоумышленники распространяли вредоносное ПО Pubload через фишинговые документы с тематикой, связанной с Тибетом.

Описание

Активность группы совпала с важным событием для тибетского сообщества - приближающимся 90-летием Далай-ламы. Также в июне в Токио проходил 9-й Всемирный парламентский конвент по Тибету (WPCT), на котором обсуждались вопросы культурной автономии региона и нарушения прав человека. В своих фишинговых кампаниях хакеры использовали документы, посвященные этим темам, чтобы вызвать доверие у жертв.

Среди наиболее распространенных приманок оказались:

  • Отчет о политике Китая в сфере образования в Тибетском автономном районе (ТАР).
  • Книга "Голос безмолвных" Далай-ламы, посвященная переговорам о независимости Тибета.
  • Материалы с конвента WPCT, включая фотографии и резолюции.

Исследователи отметили, что Hive0154 - давно известная группировка, связанная с китайскими государственными структурами. Она обладает обширным арсеналом вредоносных программ и специализируется на целевых атаках против правительств, аналитических центров и дипломатических организаций. В прошлом группировка атаковала учреждения США, Филиппин, Пакистана и Тайваня.

Механизм заражения в новой кампании включает использование уязвимости DLL-подмены (DLL sideloading). Жертве отправляется архив с вредоносным файлом, маскирующимся под легитимный документ. При открытии файла запускается загрузчик Claimloader, который создает точку восстановления в реестре, загружает бэкдор Pubload и передает управление злоумышленникам.

Pubload представляет собой простой, но опасный бэкдор, способный загружать дополнительные модули. Один из них, Pubshell, обеспечивает обратную оболочку, давая хакерам полный контроль над зараженной системой.

Исследователи IBM X-Force предупреждают, что активность китайских кибергрупп, включая Hive0154, будет только расти. Они продолжают совершенствовать свои инструменты и методы атак, а их основной фокус остается на геополитически значимых темах. Организациям, связанным с Тибетом или другими чувствительными регионами, рекомендуется усилить киберзащиту и обучать сотрудников распознаванию фишинговых атак.

Эксперты также отмечают, что использование культурных и политических тем в фишинговых кампаниях делает их особенно опасными. Жертвы, заинтересованные в данной тематике, с большей вероятностью откроют подозрительные вложения, что упрощает хакерам доступ к их данным.

В связи с этим важно помнить, что даже самые убедительные документы могут скрывать вредоносный код. Проверка источников, использование современных антивирусных решений и осторожность при открытии вложений - ключевые меры защиты от подобных атак.

Таким образом, кампания Hive0154 против тибетского сообщества демонстрирует, как геополитические конфликты переносятся в киберпространство. Китайские хакерские группы продолжают использовать цифровые инструменты для достижения политических целей, что требует повышенного внимания со стороны международных организаций и специалистов по кибербезопасности.

Индикаторы компрометации

IPv4 Port Combinations

  • 218.255.96.245:443

SHA256

  • 2bd60685299c62abe500fe80e9f03a627a1567059ce213d7c0cc762fa32552d7
  • 3e7384c5e7c5764258947721c7729f221fb47ef53d447a7af5db5426f1e7c13d
  • 57770ede7015734e2d881430423bcc76c160b90448f5e67334e56b9747ff874c
  • 6e408aada775eaf19c524792344cabca0b406247154e2b03ed03a929e0feee5a
  • 7979686bf73c2988ab5d57f9605dcef2231ca87580f6ecedc75b2cbe81669ba0
  • 8cd4324e1e764aafba4ea0394a82943cefd7deeee28a6cbd19f2ba69de6a5766
  • 93f1fd31e197a58b03c6f5f774c1384ffd03516ab1172d9b26ef5a4a32831637
  • c80dfc678570bde7c19df21877a15cc7914d3ef7a3cef5f99fce26fcf696c444
  • ea991719885b2fe91502218ff3be12c9f990a24c7e007e4ffb5a5c5c52b3a0b5
  • fb33f222b3d4d5edc9b743e64282de561ef51e42db150dd8086203c53b25ff79
Комментарии: 0