В июне 2025 года исследователи IBM X-Force обнаружили новую кампанию китайской хакерской группы Hive0154, также известной как Mustang Panda. Целью атаки стало тибетское сообщество: злоумышленники распространяли вредоносное ПО Pubload через фишинговые документы с тематикой, связанной с Тибетом.
Описание
Активность группы совпала с важным событием для тибетского сообщества - приближающимся 90-летием Далай-ламы. Также в июне в Токио проходил 9-й Всемирный парламентский конвент по Тибету (WPCT), на котором обсуждались вопросы культурной автономии региона и нарушения прав человека. В своих фишинговых кампаниях хакеры использовали документы, посвященные этим темам, чтобы вызвать доверие у жертв.
Среди наиболее распространенных приманок оказались:
- Отчет о политике Китая в сфере образования в Тибетском автономном районе (ТАР).
- Книга "Голос безмолвных" Далай-ламы, посвященная переговорам о независимости Тибета.
- Материалы с конвента WPCT, включая фотографии и резолюции.
Исследователи отметили, что Hive0154 - давно известная группировка, связанная с китайскими государственными структурами. Она обладает обширным арсеналом вредоносных программ и специализируется на целевых атаках против правительств, аналитических центров и дипломатических организаций. В прошлом группировка атаковала учреждения США, Филиппин, Пакистана и Тайваня.
Механизм заражения в новой кампании включает использование уязвимости DLL-подмены (DLL sideloading). Жертве отправляется архив с вредоносным файлом, маскирующимся под легитимный документ. При открытии файла запускается загрузчик Claimloader, который создает точку восстановления в реестре, загружает бэкдор Pubload и передает управление злоумышленникам.
Pubload представляет собой простой, но опасный бэкдор, способный загружать дополнительные модули. Один из них, Pubshell, обеспечивает обратную оболочку, давая хакерам полный контроль над зараженной системой.
Исследователи IBM X-Force предупреждают, что активность китайских кибергрупп, включая Hive0154, будет только расти. Они продолжают совершенствовать свои инструменты и методы атак, а их основной фокус остается на геополитически значимых темах. Организациям, связанным с Тибетом или другими чувствительными регионами, рекомендуется усилить киберзащиту и обучать сотрудников распознаванию фишинговых атак.
Эксперты также отмечают, что использование культурных и политических тем в фишинговых кампаниях делает их особенно опасными. Жертвы, заинтересованные в данной тематике, с большей вероятностью откроют подозрительные вложения, что упрощает хакерам доступ к их данным.
В связи с этим важно помнить, что даже самые убедительные документы могут скрывать вредоносный код. Проверка источников, использование современных антивирусных решений и осторожность при открытии вложений - ключевые меры защиты от подобных атак.
Таким образом, кампания Hive0154 против тибетского сообщества демонстрирует, как геополитические конфликты переносятся в киберпространство. Китайские хакерские группы продолжают использовать цифровые инструменты для достижения политических целей, что требует повышенного внимания со стороны международных организаций и специалистов по кибербезопасности.
Индикаторы компрометации
IPv4 Port Combinations
- 218.255.96.245:443
SHA256
- 2bd60685299c62abe500fe80e9f03a627a1567059ce213d7c0cc762fa32552d7
- 3e7384c5e7c5764258947721c7729f221fb47ef53d447a7af5db5426f1e7c13d
- 57770ede7015734e2d881430423bcc76c160b90448f5e67334e56b9747ff874c
- 6e408aada775eaf19c524792344cabca0b406247154e2b03ed03a929e0feee5a
- 7979686bf73c2988ab5d57f9605dcef2231ca87580f6ecedc75b2cbe81669ba0
- 8cd4324e1e764aafba4ea0394a82943cefd7deeee28a6cbd19f2ba69de6a5766
- 93f1fd31e197a58b03c6f5f774c1384ffd03516ab1172d9b26ef5a4a32831637
- c80dfc678570bde7c19df21877a15cc7914d3ef7a3cef5f99fce26fcf696c444
- ea991719885b2fe91502218ff3be12c9f990a24c7e007e4ffb5a5c5c52b3a0b5
- fb33f222b3d4d5edc9b743e64282de561ef51e42db150dd8086203c53b25ff79