Pakistan bağlantılı bir tehdit aktörünün, Golang tabanlı bir kötü amaçlı yazılım yaymak üzere tasarlanmış hedef odaklı kimlik avı saldırılarının bir parçası olarak Hindistan hükümet kuruluşlarını hedef aldığı gözlemlendi. AÇIKLANDI.
Sekoia tarafından Ağustos ve Eylül 2025’te gözlemlenen etkinlik, en az 2013’ten beri aktif olduğu bilinen, devlet destekli bir hack grubu olan Transparent Tribe’a (diğer adıyla APT36) atfedildi. Ayrıca, Ağustos 2025’te CYFIRMA tarafından açıklanan önceki bir kampanyaya da dayanıyor.
Saldırı zincirleri, ZIP dosyası eki veya bazı durumlarda Google Drive gibi meşru bulut hizmetlerinde barındırılan bir arşive işaret eden bir bağlantı içeren kimlik avı e-postalarının gönderilmesini içerir. ZIP dosyasının içinde, Mozilla Firefox kullanarak sahte bir PDF (“CDS_Directive_Armed_Forces.pdf”) görüntülemek ve aynı anda ana yükü yürütmek için komutlar içeren kötü amaçlı bir Masaüstü dosyası mevcuttur.
Her iki yapı da harici bir sunucu olan “modgovindia”dan çekildi[.]Daha önce olduğu gibi, kampanya BOSS (Bharat İşletim Sistemi Çözümleri) Linux sistemlerini hedeflemek için tasarlandı ve WebSockets kullanarak komut ve kontrol (C2) kurabilen uzaktan erişim trojanına sahip.
Kötü amaçlı yazılım kalıcılık için dört farklı yöntemi destekler; bunlar arasında bir systemd hizmeti oluşturmak, bir cron işi ayarlamak, kötü amaçlı yazılımı Linux otomatik başlatma dizinine eklemek ($HOME/.config/autostart) ve .bashrc’yi “$HOME/.config/system-backup/” dizinine yazılan bir kabuk betiği aracılığıyla truva atını başlatacak şekilde yapılandırmak yer alır.
DeskRAT beş farklı komutu destekler:
- pingC2 sunucusuna “pong” ile birlikte geçerli zaman damgasını içeren bir JSON mesajı göndermek için
- kalp atışıheartbeat_response ve timestamp içeren bir JSON mesajı göndermek için
- gözat_dosyalarıdizin listelerini göndermek için
- start_collectionönceden tanımlanmış bir dizi uzantıyla eşleşen ve boyutu 100 MB’ın altında olan dosyaları aramak ve göndermek için
- yükleme_yürütmeek bir Python, kabuk veya masaüstü verisi bırakıp onu yürütmek için
Fransız siber güvenlik şirketi, “DeskRAT’ın C2 sunucuları gizli sunucular olarak adlandırılıyor” dedi. “Bu bağlamda gizli sunucu, ilgili etki alanı için kamuya açık herhangi bir NS kaydında görünmeyen bir ad sunucusunu ifade eder.”
“İlk kampanyalar, kötü amaçlı yükleri dağıtmak için Google Drive gibi meşru bulut depolama platformlarından yararlanırken, TransparentTribe artık özel hazırlama sunucularını kullanmaya geçti.”
Bulgular, QiAnXin XLab’dan gelen ve kampanyanın, bubi tuzaklı Masaüstü dosya ekleri içeren kimlik avı e-postaları yoluyla StealthServer olarak takip ettiği Golang arka kapısıyla Windows uç noktalarını hedeflemesini ayrıntılı olarak açıklayan ve platformlar arası bir odaklanma öneren bir raporun ardından geldi.
Windows için StealthServer’ın üç farklı versiyonda sunulduğunu belirtmekte fayda var –
- StealthServer Windows-V1 (Temmuz 2025’te gözlemlendi), tespit edilmekten kaçınmak için çeşitli analiz önleme ve hata ayıklama önleme tekniklerini kullanan; zamanlanmış görevleri, Windows Başlangıç klasörüne eklenen bir PowerShell betiğini ve Windows Kayıt Defteri değişikliklerini kullanarak kalıcılık sağlar; ve dosyaları numaralandırmak ve belirli dosyaları yüklemek/indirmek amacıyla C2 sunucusuyla iletişim kurmak için TCP’yi kullanır
- StealthServer Windows-V2 (Ağustos 2025’in sonlarında gözlemlendi), OllyDbg, x64dbg ve IDA gibi araçlara yeni hata ayıklama önleme kontrolleri eklerken işlevselliği de koruyor
- StealthServer Windows-V3 (Ağustos 2025’in sonlarında gözlemlendi), iletişim için WebSocket’i kullanan ve DeskRAT ile aynı işlevselliğe sahip olan
XLab ayrıca StealthServer’ın iki Linux versiyonunu da gözlemlediğini söyledi; bunlardan biri “hoş geldiniz” adı verilen ekstra bir komutu destekleyen DeskRAT’tır. İkinci Linux sürümü ise C2 iletişimleri için WebSocket yerine HTTP kullanıyor. Üç komut içerir –
- göz atbelirtilen bir dizin altındaki dosyaları numaralandırmak için
- yüklemekbelirtilen bir dosyayı yüklemek için
- uygulamakbir bash komutunu yürütmek için
Ayrıca doğrudan kök dizinden (“https://thehackernews.com/”) bir dizi uzantıyla eşleşen dosyaları yinelemeli olarak arar ve daha sonra bunları karşılaştığında şifrelenmiş bir biçimde bir HTTP POST isteği aracılığıyla “modgovindia’ya iletir”[.]space:4000.” Bu, Linux versiyonunun DeskRAT’ın daha eski bir versiyonu olabileceğini gösteriyor çünkü ikincisi, dosyaları dışarı çıkarmak için özel bir “start_collection” komutu içeriyor.
QiAnXin XLab, “Grubun operasyonları sıktır ve çok çeşitli araçlar, çok sayıda varyant ve yüksek dağıtım temposu ile karakterize edilir.” dedi.
Diğer Güney ve Doğu Asya Tehdit Kümelerinden Gelen Saldırılar
Bu gelişme, son haftalarda Güney Asya odaklı tehdit aktörleri tarafından düzenlenen çeşitli kampanyaların keşfedilmesi sırasında gerçekleşti.
- Bitter APT tarafından gerçekleştirilen ve CVE-2025-8088’den yararlanarak sistem bilgilerini toplayabilen ve saldırgan tarafından kontrol edilen bir sunucudan alınan rastgele yürütülebilir dosyaları çalıştırabilen “cayote.log” adlı bir C# implantını düşüren kötü amaçlı Microsoft Excel ekleri veya RAR arşivleriyle Çin ve Pakistan’daki hükümet, elektrik enerjisi ve askeri sektörleri hedef alan bir kimlik avı kampanyası.
- SideWinder tarafından gerçekleştirilen, SouthNet Operasyonu kod adlı “yoğunlaştırılmış” bir kampanyanın parçası olarak, kimlik bilgisi toplama portalları ve çok platformlu kötü amaçlı yazılım dağıtan silahlı tuzak belgeleriyle denizcilik sektörünü ve Pakistan, Sri Lanka, Bangladeş, Nepal ve Myanmar’daki diğer dikeyleri hedef alan yeni bir hedefli faaliyet dalgası.
- OceanLotus (diğer adıyla APT-Q-31) olarak bilinen, Vietnam bağlantılı bir bilgisayar korsanlığı grubu tarafından gerçekleştirilen ve Çin ile komşu Güneydoğu Asya ülkelerindeki işletmeleri ve devlet dairelerini hedef alan saldırılarda Havoc’un sömürü sonrası çerçevesini sunan bir saldırı kampanyası.
- Mysterious Elephant tarafından 2025’in başlarında gerçekleştirilen ve Pakistan, Afganistan, Bangladeş, Nepal, Hindistan ve Sri Lanka’daki hedef devlet kurumlarına ve dış ilişkiler sektörlerine ilk erişim sağlamak için yararlanma kitleri, kimlik avı e-postaları ve kötü amaçlı belgelerin bir kombinasyonunu kullanan ve daha sonra MemLoader HidenDesk’i başlatan BabShell’i (C++ ters kabuk) bırakan bir PowerShell komut dosyası kullanarak gerçekleştirilen bir saldırı kampanyası. (bellekte bir Remcos RAT yükünü çalıştıran bir yükleyici) ve MemLoader Edge (açık kaynaklı RAT vxRat’ın bir çeşidi olan VRat’ı yerleştiren başka bir kötü amaçlı yükleyici).
Özellikle, bu izinsiz girişler aynı zamanda popüler mesajlaşma platformu aracılığıyla değiştirilen çeşitli dosyaları yakalamaya yönelik Uplo Exfiltrator ve Stom Exfiltrator gibi bir dizi modülü kullanarak güvenliği ihlal edilmiş ana bilgisayarlardan WhatsApp iletişimlerini sızdırmaya da odaklandı.
Tehdit aktörünün kullandığı bir diğer araç da, adından da anlaşılacağı gibi, Google Chrome’dan çerezleri, jetonları ve diğer hassas bilgileri toplamanın yanı sıra WhatsApp ile ilgili sifon dosyalarını toplayabilen ChromeStealer Exfiltrator’dır.
Açıklama, diğer tehdit aktörlerinin araçlarına güvenmenin ötesinde, kendi özel kötü amaçlı yazılım cephaneliğini kullanan karmaşık bir tehdit operasyonuna dönüşen bir bilgisayar korsanlığı grubunun resmini çiziyor. Düşmanın Origami Elephant, Confucius ve SideWinder ile taktiksel örtüşmeleri paylaştığı biliniyor ve bunların hepsinin Hindistan’ın çıkarları göz önünde bulundurularak çalıştığı değerlendiriliyor.
Kaspesky, “Gizemli Fil, Asya-Pasifik bölgesindeki devlet kurumları ve dış ilişkiler sektörleri için önemli bir tehdit oluşturan son derece sofistike ve aktif bir Gelişmiş Kalıcı Tehdit grubudur.” dedi. “BabShell ve MemLoader gibi özel yapım ve açık kaynaklı araçların kullanılması, onların teknik uzmanlığını ve gelişmiş kötü amaçlı yazılım geliştirmeye yatırım yapma istekliliğini vurguluyor.”