Hive0154 wreaks havoc on Singapore and Thailand using a new Toneshell backdoor and SnakeDisk USB worm.

China-linked APT group Mustang Panda has been spotted using a new USB worm called SnakeDisk along with new version of known malware

The Chinese APT group Mustang Panda, also known as Hive0154, Camaro Dragon, RedDelta, or Bronze President, has been observed utilizing an updated version of the TONESHELL backdoor and a previously undocumented USB worm named SnakeDisk. Mustang Panda has been active for several years and is known for its evolving tactics, techniques, and procedures (TTPs) to compromise targeted systems. The deployment of a new USB worm, SnakeDisk, indicates a potential shift in tactics to include physical media as an attack vector. USB worms are particularly insidious as they can spread within an organization through the use of removable media, often bypassing network-based security measures. This tactic is especially concerning for air-gapped systems, which are typically isolated from the internet for security purposes but may still be vulnerable to physical media attacks. The updated version of the TONESHELL backdoor suggests that Mustang Panda is continuously refining its tools to evade detection and maintain persistence within compromised environments. Backdoors like TONESHELL provide attackers with long-term access to a system, allowing them to exfiltrate data or execute additional malicious activities. The lack of specific technical details about SnakeDisk and the updated TONESHELL in the article underscores the need for vigilance and proactive defense strategies. Cybersecurity professionals should consider the following actions: 1. Monitor USB Activity: Implement strict monitoring and control of USB device usage within the organization. This includes disabling autorun features and scanning all USB drives before they are accessed. 2. Update Detection Mechanisms: Ensure that intrusion detection and prevention systems are updated with the latest signatures and behavioral analysis capabilities to detect new variants of backdoors and USB-based malware. 3. Employee Training: Conduct regular training sessions to educate employees about the risks associated with using unknown USB drives and the importance of adhering to security protocols. 4. Network Segmentation: Implement network segmentation to limit the spread of malware within the organization. This is particularly important for air-gapped systems, which should have strict access controls and monitoring. The emergence of new tools and techniques by APT groups like Mustang Panda highlights the ongoing evolution of cyber threats. Organizations must remain vigilant and adapt their security postures to address these advanced persistent threats effectively.

Hive0154 wreaks havoc on Singapore and Thailand using a new Toneshell backdoor and SnakeDisk USB worm.

The China-aligned threat actor known as Mustang Panda has been observed using an updated version of a backdoor called TONESHELL and a previously undocumented USB worm called SnakeDisk. "The worm only executes on devices with Thailand-based IP addresses and drops the Yokai backdoor," IBM X-Force researchers Golo Mühr and Joshua Chung said in an analysis published last week. The tech giant's

Im Juli 2025 entdeckte IBM X-Force neue Malware, die dem mit China verbundenen Bedrohungsakteur Hive0154 zugeschrieben wird. Dazu zählen eine aktualisierte Variante der Toneshell-Backdoor, die Erkennu...

Hive0154, aka Mustang Panda, drops updated Toneshell backdoor and novel SnakeDisk USB worm 0 views Eyal Estrin unread, 8:16 PM to https://www.ibm.com/think/x-force/hive0154-drops-updated-toneshell-backdoor Eyal Estrin CISSP, CCSP, CISM, CISA, CDPSE, CCSK Blog: https://security-24-7.com | Books: https://amzn.to/42Xai9A | https://amzn.to/3Sggbtv Twitter: @eyalestrin | Bluesky: @eyalestrin.bsky.social

Mustang Panda’s Hive0154 uses SnakeDisk USB worm to drop Yokai backdoor on Thailand IPs, expanding malware ecosystem.

The China-aligned threat actor known as Mustang Panda has been observed using an updated version of a backdoor called TONESHELL and a previously undocumented USB worm called SnakeDisk. "The worm only executes on devices with Thailand-based IP addresses and drops the Yokai backdoor," IBM X-Force researchers Golo Mühr and Joshua Chung said in an analysis published last week. The tech giant's

2025年9月15日Ravie Lakshmananマルウェア / ネットワークセキュリティ Mustang Pandaとして知られる中国系の脅威アクターが、TONESHELLと呼ばれるバックドアの更新版と、これまで文書化されていなかったUSBワーム「SnakeDisk」を使用していることが確認されました。 「このワームはタイのIPアドレスを持つデバイスでのみ実行され、Yokaiバックドアをドロップします」と、IBM X-Forceの研究者Golo Mühr氏とJoshua Chung氏は、先週公開した分析で述べています。 このテック大手のサイバーセキュリティ部門は、このクラスターをHive0154という名前で追跡しており、BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonとも広く呼ばれています。この国家支援型の脅威アクターは、少なくとも2012年から活動していると考えられています。 TONESHELLは、2022年11月にTrend Microによって初めて公に文書化され、ミャンマー、オーストラリア、フィリピン、日本、台湾を対象としたサイバー攻撃の一部として、5月から10月の間に観測されました。通常はDLLサイドローディングを通じて実行され、感染したホストに次の段階のペイロードをダウンロードするのが主な役割です。 典型的な攻撃チェーンでは、スピアフィッシングメールを利用して、PUBLOADやTONESHELLのようなマルウェアファミリーをドロップします。PUBLOADはTONESHELLと同様の機能を持ち、コマンド＆コントロール（C2）サーバーからHTTP POSTリクエストを通じてシェルコードペイロードをダウンロードすることも可能です。 新たに特定されたTONESHELLのバリアントは、IBM X-ForceによってTONESHELL8およびTONESHELL9と名付けられており、企業ネットワークトラフィックに溶け込むためにローカルで設定されたプロキシサーバーを介したC2通信をサポートし、2つのアクティブなリバースシェルを並行して実行できます。また、マルウェアの機能内にOpenAIのChatGPTウェブサイトからコピーしたジャンクコードを組み込むことで、静的検知を回避し、解析を困難にしています。 また、DLLサイドローディングを利用して起動される新しいUSBワーム「SnakeDisk」も登場しており、これはTONEDISK（別名WispRider）と重複する部分があり、TONESHELLファミリーの別のUSBワームフレームワークです。主にホストに接続された新規および既存のUSBデバイスを検出し、拡散手段として利用されます。 具体的には、USB内の既存ファイルを新しいサブディレクトリに移動し、USBデバイスのボリューム名または「USB.exe」という名前を設定することで、被害者が新しいマシンで悪意のあるペイロードをクリックするように仕向けます。マルウェアが起動されると、ファイルは元の場所にコピーし戻されます。 このマルウェアの注目すべき点は、タイにジオロケーションされたパブリックIPアドレスでのみ実行されるようジオフェンスが施されていることです。SnakeDiskはまた、任意のコマンドを実行するためのリバースシェルを確立するバックドア「Yokai」をドロップする役割も果たします。これは2024年12月にNetskopeによって、タイの公務員を標的とした侵入で詳細が報告されています。 「Yokaiは、Hive0154に関連付けられる他のバックドアファミリー、例えばPUBLOAD/PUBSHELLやTONESHELLと重複する点が見られます」とIBMは述べています。「これらのファミリーは明確に別個のマルウェアですが、ほぼ同じ構造に従い、C2サーバーとのリバースシェル確立に似た手法を使用しています。」 SnakeDiskとYokaiの使用は、Mustang Panda内でタイに特化したサブグループの存在を示唆しており、同時にこの脅威アクターのツール群が進化・洗練され続けていることを強調しています。 「Hive0154は、複数のアクティブなサブクラスターと頻繁な開発サイクルを持つ非常に高い能力を持つ脅威アクターであり続けています」と同社は結論付けています。「このグループは、悪意のあるコードや攻撃時に使用される手法、標的において頻繁に重複が見られる、非常に大規模なマルウェアエコシステムを維持しているようです。」 翻訳元:

IBM X-Force researchers have uncovered sophisticated new malware campaigns orchestrated by the China-aligned threat actor Hive0154.

The latest ToneShell variant introduces a notable advancement in its persistence strategy by leveraging the Windows Task Scheduler COM service.

IBM X-Force researchers have uncovered sophisticated new malware campaigns orchestrated by the China-aligned threat actor Hive0154.

Since its first appearance earlier this year, the ToneShell backdoor has demonstrated a remarkable capacity for adaptation, toyed with by the Mustang Panda group to maintain an enduring foothold in ta...