Hive0154 alias Mustang Panda verbreitet aktualisierte Toneshell-Backdoor und neuen USB-Wurm SnakeDisk

Im Juli 2025 entdeckte IBM X-Force neue Malware, die dem mit China verbundenen Bedrohungsakteur Hive0154 zugeschrieben wird. Dazu zählen eine aktualisierte Variante der Toneshell-Backdoor, die Erkennungen umgeht und zusätzliche Funktionen unterstützt, sowie ein neuartiger USB-Wurm namens SnakeDisk, der Mitte August identifiziert wurde. SnakeDisk wird ausschließlich auf Geräten mit IP-Adressen aus Thailand aktiv und installiert die Yokai-Backdoor, die bereits im Dezember 2024 von Netskope aufgedeckt wurde.

Wichtigste Erkenntnisse

• Im Jahr 2025 beobachtete X-Force mehrere Varianten der Malware Toneshell und Pubload in sogenannten weaponized Archives, die vor allem aus Singapur und Thailand hochgeladen wurden.
• Die neueste Toneshell-Variante „Toneshell9“ entgeht der Erkennung durch VirusTotal. Sie erlaubt Command-and-Control-Kommunikation über lokal konfigurierte Proxys, um sich unbemerkt in Unternehmensnetzwerke einzuklinken, und unterstützt zwei parallele Reverse-Shells.
• X-Force analysierte zudem SnakeDisk, einen USB-Wurm, der nur auf Geräten in Thailand aktiv wird, identifiziert anhand ihrer öffentlichen IP-Adressen. Der Wurm zeigt Code-Ähnlichkeiten mit früheren Tonedisk-Varianten und kann neue sowie bereits vorhandene USB-Geräte erkennen, um sich darüber zu verbreiten.
• SnakeDisk installiert auf infizierten Systemen die Yokai-Backdoor, die eine Reverse-Shell einrichtet und den Betreibern beliebige Befehle ausführen lässt. Yokai wurde zuvor in Kampagnen eingesetzt, die im Dezember 2024 gezielt thailändische Behörden angriffen.

Hintergrund

Hive0154 gilt als etablierter, mit China verbundener Bedrohungsakteur mit einem umfangreichen Malware-Arsenal und klar dokumentierten Aktivitäten. Die Gruppe besteht aus mehreren Untergruppen und greift öffentliche wie private Organisationen an, darunter Thinktanks, politische Gruppen, Regierungsbehörden und Einzelpersonen. Die Beobachtungen von X-Force zeigen, dass Hive0154 regelmäßig eigene Malware-Loader, Backdoors und USB-Wurmfamilien einsetzt und damit über fortschrittliche Entwicklungsfähigkeiten verfügt.
Die Aktivitäten von Hive0154 überschneiden sich mit denen von Gruppen, die öffentlich als Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris und Earth Preta bekannt sind.

Hive0154 nutzt unter anderem einen neuen Loader, um entweder Pubload oder Toneshell7 reflektiv zu injizieren, sowie die stärker verschleierte Variante Toneshell8 direkt einzusetzen. Die aktuelle Pubload-Variante unterstützt neben rohem TCP, das TLS-Verkehr imitiert, auch C2-Täuschungsserver und den Download von Shellcode-Payloads über HTTP POST.

Mitte August entdeckte X-Force zudem SnakeDisk. Der USB-Wurm, der Ähnlichkeiten mit früheren Tonedisk-Versionen aufweist, wird ausschließlich auf Geräten in Thailand ausgeführt. SnakeDisk verbreitet die Yokai-Backdoor, die im Dezember 2024 bereits in gezielten Kampagnen gegen Thailand eingesetzt wurde.

Die Entdeckung des USB-Wurms fällt in eine Zeit erhöhter Spannungen in der Region: Seit Mai 2025 kam es zwischen Thailand und Kambodscha zu Grenzkonflikten und militärischen Auseinandersetzungen, die bis Juli anhielten. Die geopolitische Situation könnte Hive0154 veranlasst haben, gezielte Operationen gegen thailändische Systeme zu starten. SnakeDisk ist so konfiguriert, dass er nur auf thailändischen Rechnern aktiv wird, was auf den Versuch hinweist, in isolierte Systeme einzudringen, die typischerweise in Regierungsnetzwerken eingesetzt werden.

USB-Wurm SnakeDisk

Im August 2025 meldete X-Force einen bisher unbekannten USB-Wurm, der Hive0154 zugeordnet wird. Die 32-Bit-DLL wurde als „01.dat“ aus Thailand hochgeladen und weist ähnliche Merkmale wie Toneshell9 auf. Beide Malware-Varianten nutzen DLL-Sideloading, bei dem alle Exporte außer DllEntryPoint sofort zurückkehren. Zudem sind die API-Auflösungsmechanismen nahezu identisch. SnakeDisk liest ein Befehlszeilenargument ein, das einen von zwei Ausführungspfaden wählt:

• „-Embedding“: Startet die USB-Infektion und legt die Nutzlast nach Entfernen des Geräts ab.

• „-hope“: Legt die Nutzlast sofort ab und führt sie aus.

Für die USB-Infektion benötigt SnakeDisk eine Konfigurationsdatei im aktuellen Verzeichnis der übergeordneten ausführbaren Datei. Dateien, die nicht „System Volume Information“ heißen, werden überprüft und anschließend mit einem zweistufigen XOR-Algorithmus entschlüsselt.

Fazit

Hive0154 bleibt ein hochentwickelter Bedrohungsakteur mit mehreren aktiven Untergruppen. X-Force geht davon aus, dass mit China verbundene Gruppen wie Hive0154 ihr Malware-Arsenal weiterentwickeln und gezielt Organisationen weltweit angreifen werden. Die beschriebene Malware befindet sich wahrscheinlich noch in einem frühen Stadium, sodass Verteidiger Erkennungsmechanismen frühzeitig implementieren können.

Unternehmen, die von Hive0154 ins Visier genommen werden könnten, sollten besonders vorsichtig sein bei:

• E-Mails oder PDFs mit Download-Links zu Cloud-Diensten wie Google Drive, Box oder Dropbox.

• Heruntergeladenen Archiven, auch wenn die erwarteten Dateien enthalten sind. Mitarbeiter sollten geschult werden, unerwartete Dateiendungen zu erkennen.

• Netzwerken auf TLS 1.2-Anwendungsdatenpakete ohne vorherigen Handshake zu überwachen.

• USB-Laufwerken auf verdächtige Dateien, DLLs und versteckte Verzeichnisse zu prüfen.

• Unbekannten Verzeichnissen in C:\ProgramData, die für DLL-Sideloading anfällige EXE-Dateien enthalten.

• Persistenztechniken in der Registrierung und geplanten Aufgaben.

• Prozessen, Netzwerkverkehr und IoCs, die in diesem Bericht beschrieben sind.

• Ungewöhnlichen Datei- oder Netzwerkaktivitäten, die von scheinbar harmlosen Programmen ausgehen, die bösartige DLLs laden.

Entdecken Sie mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky