Arcane Werewolf (Mythic Likho olarak da takip edilir) olarak bilinen siber casusluk grubu, özel kötü amaçlı yazılımının yeni bir yinelemesiyle Rus imalat işletmelerini hedef alarak saldırı yeteneklerini önemli ölçüde geliştirdi.
BI.ZONE Threat Intelligence tarafından hazırlanan bir rapora göre: Ekim ve Kasım 2025’te gözlemlenen kampanyalar, grubun Loki 2.0 yükleyicisinden, tespitten kaçınmak için güncellenmiş dağıtım mekanizmalarını kullanan daha gelişmiş bir Loki 2.1 varyantına geçiş yaptığını ortaya koyuyor.
Saldırılar grubun imza tekniğiyle başladı: resmi yazışmalar gibi görünen kimlik avı e-postaları. Bu mesajlar, kurbanları meşru Rus imalat şirketlerini titizlikle taklit eden sahte web sitelerine yönlendiren bağlantılar içeriyordu.
Ekim ayındaki kampanyada mağdurlar, kötü amaçlı LNK dosyalarını içeren ZIP arşivlerini indirmeleri için kandırıldı. Bu dosyalar yürütüldükten sonra, görüntü dosyası olarak gizlenmiş Go tabanlı bir damlalığı almak için bir PowerShell komutunu tetikledi.
Bu damlalık ikili bir amaca hizmet ediyordu: Loki 2.0 yükleyiciyi arka planda sessizce çalıştırırken kullanıcının dikkatini dağıtmak için “Giden bildirim No. 7784” gibi zararsız bir tuzak PDF açtı.
Bu yükleyici, temel ana bilgisayar bilgilerini toplamak, AES aracılığıyla şifrelemek ve daha sonraki yükleri beklerken bunu bir Komuta ve Kontrol (C2) sunucusuna sızdırmak için tasarlandı.
Ancak tehdit ortamı Kasım 2025 itibarıyla hızla gelişti. BI.ZONE araştırmacıları, saldırı zincirinde yeni bir C++ damlasının da dahil olduğu bir değişim gözlemledi.
Bu yürütülebilir dosya, yükünü çıkarmak için NtCreateFile ve ZwWriteFile gibi düşük seviyeli sistem çağrılarını kullandı. Daha da önemlisi, bu kampanya Loki 2.1’in dağıtımını işaret ediyordu.
Yükleyicinin implantı bir C2 sunucusundan alması gereken önceki versiyonların aksine, Loki 2.1 yükleyici, yükseltilmiş implantı doğrudan kendi konfigürasyonuna gömülü olarak taşıyordu.
İmplantın şifresini çözer ve doğrudan işlem belleğinde çalıştırarak ağ gürültüsünü ve ilk enfeksiyon aşamasında harici erişime bağımlılığı azaltır.
Damlalık, Base64 kodlu iki veri taşır:
chrome_proxy.pdfbir PE32+ yürütülebilir dosyası (kötü amaçlı yükleyici).09.2025.pdfbir PDF yemi.
Loki 2.1 implantı, Mythic ve Havoc gibi popüler kullanım sonrası çerçevelerle uyumluluğu koruyor ancak farklı mimari değişiklikler sunuyor.
Temel teknik fark, komut tanımlamasında yatmaktadır; Loki 2.0 komutları djb2 hash değerlerine eşlerken, Loki 2.1 kolaylaştırılmış bir sıra sayı sistemi (0-11) kullanır.
Loki 2.1 aracılığıyla Arcane Werewolf’un kullanabileceği cephanelik oldukça geniştir. Araç seti saldırganların şunları yapmasına olanak tanır:
- Dosyaları Yönet: Ana bilgisayar ile C2 sunucusu arasında veri yükleyin ve indirin.
- Kodu Yürüt: İşlemleri CreateProcessW aracılığıyla çalıştırın veya hedef işlemlere kod (DLL’ler ve kabuk kodu) enjekte edin.
- Gelişmiş İşlemler: Beacon Nesne Dosyalarını (BOF) yürütün, Windows erişim belirteçlerini yönetin ve belirli işlemleri sonlandırın.
- Devam Edin ve Kaçın: Bir çıkış komutu aracılığıyla trafiği maskelemek ve işlemleri temizlemek için uyku aralıklarını değiştirin.
Arcane Werewolf’un marka kimliğine bürünmeye devam etmesi kritik bir tehdit faktörü olmaya devam ediyor. Büyük endüstri oyuncuları ve düzenleyicilerinin alan adlarına çok benzeyen alan adlarından yararlanarak, imalat sektörünün doğasında olan güveni istismar ediyorlar.
Grup teknik ticari becerilerini geliştirmeye devam ederken, kuruluşlara gelen yazışmaları alan adındaki ince düzensizlikler açısından incelemeleri tavsiye ediliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.