Proofpoint ve Threatray tarafından yapılan son araştırmada, TA397 olarak da bilinen, Hindistan hükümetinin çıkarları ile uyumlu devlet destekli bir aktör olduğuna inanılan Acı Grubun karmaşık ve gelişen kötü amaçlı yazılım cephaneliğini tanıttı.
2016’dan beri aktif olan Bitter, operasyonlarını temel indiricileri dağıtmaktan, yüksek derecede teknik becerikti ve uyarlanabilirlik sergileyen sofistike uzaktan erişim truva atlarını (sıçanlar) ve backdoors’u düzenlemeye dönüştürdü.
Gelişen tehditlerin sofistike bir cephanesi
Bu grubun sekiz yıldaki sürdürülebilir kampanyası, geleneksel algılama mekanizmalarını atlamak için tasarlanmış C/C ++ ve .NET ile yazılmış bir dizi özel geliştirilmiş araçla zeka toplama hedefliyor.
.png
)
Enfeksiyon zincirleri, kötü amaçlı yazılımdaki karmaşık anti-analiz teknikleri üzerindeki uygulamalı faaliyetler sırasında yük sunumuna öncelik verir ve operasyonel verimliliğe stratejik bir odaklanma işaret eder.
Artradownloader, Muuydownloader, Bdarkrat ve yakın zamanda tanımlanan Miyarat gibi sistem bilgileri toplama ve String Aileleri’nde tutarlı kod kalıpları, obfusasyon stratejilerinde ve komuta ve kontrol (C2) iletişim protokollerindeki yinelemeli güncellemelerle kanıtlanmış birleşik bir geliştirme tabanı önermektedir.
Teknik evrim
Bitter’in teknik evrimine daha derinlemesine giren kötü amaçlı yazılımlar, Artradownloader ve WSCSPL arka kapı gibi erken araçlarda görülen karakter toplama veya çıkarma gibi temel kodlama yöntemlerinden daha gelişmiş XOR ve AES-256-CBC şifrelemesinden BDarkrat ve Bondrat gibi daha sonraki ailelerde ilerleme gösterir.
Örneğin, ilk olarak 2016’da gözlemlenen Artradownloader, sistem verilerini C2 sunucularına iletmek için basit kodlama kullanırken, Muuydownloader’ın daha yeni varyantları, 2025 numunelerinde veri iletimi için dize başına benzersiz XOR tuşları kullanıyor.
Benzer şekilde, Miyarat’ın Mayıs 2025’te keşfedilen en son V5.0 varyantı, değiştirilmiş dize şifrelemesi ve C2 iletişim şifrelemesi getirerek imza tabanlı algılamayı giderek daha zorlayıcı hale getiriyor.
Rapora göre, bu yinelemeli gelişme sadece gizliliği arttırmakla kalmaz, aynı zamanda geleneksel Yara kurallarının gizlenmiş dizeler nedeniyle en son Miyarat’ı tanımlayamadığı zaman görüldüğü gibi statik algılama kurallarının oluşturulmasını da karmaşıklaştırır.
Bitter’in bilgisayar adı, kullanıcı adı ve işletim sistemi detaylarını toplayan standart bir keşif paternine güvenmesi, Kiwistealer (2024) ve Kugelblitz Shellcode yükleyici gibi araçları vurgularken, kurban profil oluşturma için metodik bir yaklaşımın altını çiziyor ve dosya yayılmalarındaki genişleyen yeteneklerini vurgulamaktadır.
Bu tür uyarlanabilirlik, WMRAT’ta önemsiz iplik oluşturma ve sık uyku çağrıları gibi anti-analiz teknikleri ile birleştiğinde, savunucular için önemli engeller oluşturmaktadır.
Bu analizde ortaya konan ortak kalkınma özellikleri ve tutarlı operasyonel taktikler, siber güvenlik topluluğu için daha sağlam algılama imzalarının hazırlanmasını ve Bitter’ın gelecekteki manevralarının proaktif izlenmesini sağlayan kritik bilgiler sağlar.
Uzlaşma Göstergeleri (IOCS)
| SHA256 | Kötü amaçlı yazılım ailesi | İlk görüldü | Kaynak | C2 |
|---|---|---|---|---|
| EF0CB0A1A29BCDF2B3622F72734AC8D38326FC8F7270F78BD956E706A5FD57 | Artradownloader | 2018 | Paloalt Unit42 | Hile yapmak[.]Kielsoservice[.]açık |
| 3FDF291E39E93305BC9DF19BA480BD6085053B0B606A620BFF482D0F0F4D3 | Muuydownloader | 2021 | Cisco Talos | Yardım Masası[.]araba phragu[.]com |
| Bf169e4dacda653c367b015a12e8e379f07c572832d9828b7d66f28e7e07a | Borrat | 2024 | Qianxin | wmiapcservice[.]com |
| C2C92F2238BC20A7B4D4C152861850B8E069C924231E2FA14EA09E9DCD1E9F0A | Miyarat | 2025 | Kanıt noktası | wusvcpsvc[.]com |
| 4B62FC86273CDC424125A34D6142162000AB8B97190BF6AF42D3599E4F4C175 | Kivi | 2024 | 360 Güvenlik | Ebeninstallsvc[.]com |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun