Célpontban Tibet
A Hive0154, egy Kínához kötődő APT csoport egy új kampányában a tibeti diaszpóra tagjaira koncentrál. A támadások hátterében több fontos esemény állt, például a 9. World Parliamentarians’ Convention on Tibet tokiói konferenciája, a tibeti autonóm régió oktatáspolitikai kérdései, illetve a dalai lámához köthető Voice for the Voiceless könyv megjelenése. Ezeket saját phishing e-mailekben kihasználva juttatták el az áldozatokhoz a rosszindulatú tartalmat.
A támadás a klasszikus spear‑phishing modellt követi: a levelek Google Drive-ra mutató linket tartalmaznak, amely zárt archívumokat letöltve Word‑dokumentumnak álcázott EXE fájlokat indít el. Ezek a futtatást követően DLL sideloadingrévén töltenek be egy külön DLL-t („Claimloader”), ami feltölti a fő payloadot, a Pubload backdoor-ot.
A Pubload elsődleges feladata egy titkosított shellcode lehívása és memóriába injektálása. Ezután letölti a Pubshellmodult, amely egy visszafordított (reverse) shell-t biztosít, azaz lehetővé teszi a távoli hozzáférést az áldozat rendszeréhez. Ez a működésmód hasonló a 2024-ben használt TONESHELL-hez, de a Pubshell egyszerűbb és modulárisabb kialakítású.
Az IBM X‑Force elemzése szerint a kampány kifinomultsága jelezhet egy, azokat a tibeti szervezeteket érintő hosszú távú hírszerző akciókat, amelyek párhuzamba állnak a csoport korábbi tevékenységeivel (USA, Fülöp-szigetek, Pakisztán, Tajvan) 2024 végétől 2025 elejéig.
A tibeti közösség ellen irányuló kampány jól mutatja, hogy a geopolitikailag motivált célzások hogyan alkalmazzák a kifinomult technológiákat, spear‑phishing, DLL sideloading, memóriaalapú backdoor és cloud‑alapú shell‑modul. A Pubload és Pubshell páros lehetőséget ad a fenntartott, csendes hozzáférésre és távoli irányításra. Az IBM X‑Force figyelmeztetése alapján a hasonló csoportok aktívan fejlesztik kampányaikat, így a védekezési stratégiának is rugalmasnak és folyamatosan alkalmazkodónak kell lennie.
