Um grupo de ciberespionagem ligado à China foi responsabilizado por uma nova campanha direcionada à comunidade tibetana. Os ataques começaram em junho e utilizaram temas sensíveis como o 9º Congresso Mundial de Parlamentares sobre o Tibete, políticas educacionais chinesas na região autônoma tibetana e um livro recente do 14º Dalai Lama como isca em e-mails de spear phishing. A campanha distribui arquivos compactados maliciosos contendo documentos Word inofensivos, artigos tibetanos e fotos do evento.
Dentro do mesmo pacote, há um executável disfarçado de documento que inicia a cadeia de infecção. O processo utiliza a técnica de carregamento lateral de DLL para ativar um componente chamado Claimloader, que instala o PUBLOAD, um programa que se conecta a servidores remotos para baixar a próxima etapa do ataque, o backdoor Pubshell. O Pubshell é um backdoor leve que oferece acesso remoto à máquina infectada por meio de shell reverso. Embora semelhante ao TONESHELL, outro malware conhecido, o Pubshell exige comandos adicionais para retornar os resultados e opera exclusivamente com o shell do Windows (cmd.exe).
Especialistas apontam que ele representa uma versão mais simples e direta do TONESHELL. A campanha também foi associada a um subgrupo que, entre 2024 e 2025, mirou alvos governamentais e diplomáticos em países como Estados Unidos, Filipinas, Paquistão e Taiwan. Nesses casos, os ataques utilizaram links para arquivos compactados disfarçados, que ativam o Claimloader e o PUBLOAD. Em Taiwan, também foi identificado o uso de um verme USB conhecido como HIUPAN, que propaga o malware por meio de dispositivos removíveis. O grupo envolvido na campanha mantém atividade constante e segue desenvolvendo novas ferramentas com foco em organizações públicas e privadas na região do Leste Asiático.
