Güney Kore genelinde akıllı telefonlar ve tabletler üzerinde yıkıcı operasyonlar yürütmek için Google’ın Find Hub hizmetini kullanan, Android cihazlarını hedef alan karmaşık bir uzaktan veri silme saldırısı ortaya çıktı.
Bu kampanya, devlet destekli tehdit aktörlerinin, kullanıcı verilerini uzaktan silmek ve normal cihaz işlemlerini aksatmak için meşru bir cihaz koruma hizmetini silah haline getirdiği belgelenen ilk vakayı temsil ediyor.
Güvenilir mesajlaşma platformları aracılığıyla dağıtılan kötü amaçlı yazılım, sosyal mühendislik, kalıcı arka kapılar ve yerleşik güvenlik özelliklerinin kötüye kullanılmasını birleştirerek saldırı karmaşıklığında bir evrim ortaya koyuyor.
Saldırı, KakaoTalk messenger aracılığıyla dağıtılan, stres giderici programlar gibi görünen kötü amaçlı dosyalarla başlıyor.
Kurbanlar, arka planda sessizce çalışan ve dil paketi uyumluluğuyla ilgili sahte hata mesajları görüntüleyen bir Microsoft Installer (MSI) paketini içeren “Stress Clear.zip” adlı bir ZIP arşivi alıyor.
Kötü amaçlı yazılım yüklendikten sonra Windows Görev Zamanlayıcı’da kayıtlı AutoIt komut dosyaları aracılığıyla kalıcılık sağlıyor ve Almanya’da, özellikle 116.202.99.218 adresinde ve bp-analytics.de etki alanında bulunan sunucularla komut ve kontrol iletişimini sürdürüyor.
Genians güvenlik araştırmacıları, bu kampanyanın, her ikisi de 63 Araştırma Merkezi altında faaliyet gösteren Kuzey Kore devlet destekli Kimsuky ve APT37 grupları ile bağlantılı KONNI APT operasyonunun bir parçası olduğunu tespit etti.
İlk uzlaşma, 5 Eylül 2025’te, tehdit aktörlerinin, Kuzey Kore’den kaçan gençlere destek konusunda uzmanlaşmış Güney Koreli bir psikolojik danışmanın KakaoTalk hesabını ele geçirmesiyle gerçekleşti.
.webp)
Saldırganlar, kötü amaçlı dosyaları danışmanın bağlantılarına dağıtmak için bu güvenilir ilişkiden yararlandı ve kurbanları, farkında olmadan daha fazla yayılma için dağıtım kanallarına dönüştürdü.
Sistem güvenliğinin aşılmasının ardından kötü amaçlı yazılım, RemcosRAT 7.0.4 Pro, QuasarRAT ve RftRAT dahil olmak üzere birden fazla uzaktan erişim truva atı dağıtır.
Bu veriler, web kamerası izleme, tuş vuruşu kaydı ve kimlik bilgileri toplama yoluyla kapsamlı sistem gözetimine olanak tanır.
Tehdit aktörleri, Google’ın kaybolan veya çalınan Android cihazları bulmak ve korumak için tasarlanmış cihaz yönetimi hizmeti olan Find Hub’a yetkisiz erişim sağlamak için özellikle Google hesabı kimlik bilgilerini hedef aldı.
Kimlik bilgileri alındıktan sonra saldırganlar, kurbanların akıllı telefonlarına ve tabletlerine uzaktan fabrika ayarlarına sıfırlama komutları uygulayarak kişisel verileri kalıcı olarak siliyor ve cihazları geçici olarak kullanılamaz hale getiriyor.
Enfeksiyon Mekanizması ve Kalıcılık Taktikleri
Enfeksiyon zinciri, kullanıcıların Çin’deki “Chengdu Hechenyingjia Mining Partnership Enterprise” adına sahte bir dijital imza taşıyan “Stress Clear.msi” dosyasını çalıştırmasıyla başlıyor.
Bu kod imzalamanın kötüye kullanılması, ilk güvenlik kontrollerini atlayan bir meşruiyet görünümü sağlar.
Yükleme sırasında MSI paketi, AutoIt3.exe’yi ve kötü amaçlı “loKITr.au3” komut dosyasını C:\Users\Public\Music konumundaki genel Müzik klasörüne kopyalayan yerleşik bir toplu komut dosyası olan “install.bat”ı çağırır.
Install.bat betiği, meşru bir belge görüntüleyici gibi görünmek için schtasks.exe dosyasının “hwpviewer.exe” adı verilen yeniden adlandırılmış bir kopyasını kullanarak zamanlanmış bir görev oluşturur.
Bu görev, AutoIt betiğini her dakika çalıştırarak, sistem yeniden başlatıldıktan sonra bile kötü amaçlı yazılımların kalıcı olarak yürütülmesini sağlar. Komut dosyası daha sonra adli izleri ortadan kaldırmak için orijinal kurulum dosyalarını siler.
Bu arada error.vbs, sistem ve program dil paketleri arasında uyumsuzluk olduğunu iddia eden yanıltıcı bir Korece hata mesajı görüntüleyerek kullanıcıları, kötü amaçlı işlemler gerçekten başarılı bir şekilde tamamlanırken kurulumun başarısız olduğuna ikna eder.
.webp)
AutoIt betiği loKITr.au3, birincil arka kapı bileşeni olarak işlev görüyor, komuta ve kontrol altyapısına şifreli bağlantılar kuruyor ve ek kötü amaçlı modüller indiriyor.
Analiz, komut dosyasının yinelenen yürütmeyi önlemek için “Global\AB732E15-D8DD-87A1-7464-CE6698819E701” muteks tanımlayıcısını kullandığını ve sistem önyüklemesi sırasında otomatik başlatma için “Smart_Web.Ink” adlı bir başlatma kısayolunu kaydettiğini ortaya çıkardı.
Kötü amaçlı yazılım, gereksiz kod ekleme ve kritik dizelerin kodlanması gibi gizleme teknikleriyle gerçek işlevselliğini gizler.
Arka kapı bir kez kurulduktan sonra kapsamlı sistem izleme ve uzaktan kontrol yetenekleri sağlar.
Tehdit aktörleri, kurbanların fiziksel ortamlarını gözetlemek için web kameralarını ve mikrofonları etkinleştirir ve operasyonların fark edilmeden yürütülmesi için bulunmadığı dönemleri belirler.
Kötü amaçlı yazılım, saldırının en yıkıcı yönünü gerçekleştirmek için ağ geçidi haline gelen Google ve Naver hesaplarının kimlik bilgileri de dahil olmak üzere hassas verileri sızdırıyor.
Saldırganlar, Find Hub konum sorguları aracılığıyla kurbanların cihazlarından uzakta olduklarını doğruladıktan sonra Android akıllı telefonlara ve tabletlere uzaktan fabrika ayarlarına sıfırlama komutları göndererek depolanan tüm verileri siliyor ve iletişim kanallarını kesintiye uğratıyor.
Gözetleme, kimlik bilgileri hırsızlığı ve yıkıcı eylemlere yönelik bu koordineli yaklaşım, mobil platformları hedef alan APT operasyonlarında nadiren gözlemlenen taktiksel olgunluğu göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
