Google’ın Mandiant Tehdit Savunması Pazartesi günü yaptığı açıklamada, Gladinet’in Triofox dosya paylaşım ve uzaktan erişim platformunda artık yamalı bir güvenlik açığının gün boyu istismar edildiğini keşfettiğini söyledi.
Şu şekilde izlenen kritik güvenlik açığı: CVE-2025-12480 (CVSS puanı: 9,1), bir saldırganın kimlik doğrulamayı atlamasına ve yapılandırma sayfalarına erişmesine olanak tanır, bu da isteğe bağlı yüklerin yüklenmesine ve yürütülmesine neden olur.
Teknoloji devi, Gladinet’in 16.7.10368.56560 sürümündeki kusur için yamalar yayınlamasından yaklaşık bir ay sonra, 24 Ağustos 2025’e kadar UNC6485 olarak takip edilen ve kusuru silah haline getiren bir tehdit kümesi gözlemlediğini söyledi. CVE-2025-12480’in, CVE-2025-30406 ve CVE-2025-11371’den sonra Triofox’ta yalnızca bu yıl aktif olarak kullanılan üçüncü kusur olduğunu belirtmekte fayda var.
Yazılımın sürüm notlarına göre “İlk yapılandırma sayfaları için ek koruma”. “Triofox kurulduktan sonra bu sayfalara artık erişilemiyor.”
Mandiant, tehdit aktörünün, yapılandırma sayfalarına erişim sağlamak için kimlik doğrulamasız erişim güvenlik açığını silah haline getirdiğini ve ardından kurulum sürecini çalıştırarak bunları yeni bir yerel yönetici hesabı olan Küme Yöneticisi oluşturmak için kullandığını söyledi. Yeni oluşturulan hesap daha sonra takip faaliyetlerini yürütmek için kullanıldı.
Güvenlik araştırmacıları Stallone D’Souza, Praveeth DSouza, Bill Glynn, Kevin O’Flynn ve Yash Gupta, “Kod yürütmeyi gerçekleştirmek için, saldırgan yeni oluşturulan Yönetici hesabını kullanarak oturum açtı. Saldırgan, yerleşik antivirüs özelliğini kullanarak bunları yürütmek için kötü amaçlı dosyalar yükledi” dedi.
“Antivirüs özelliğini ayarlamak için kullanıcının seçilen antivirüs için isteğe bağlı bir yol sağlamasına izin verilir. Antivirüs tarayıcı konumu olarak yapılandırılan dosya, SİSTEM hesabı bağlamı altında çalışan Triofox ana işlem hesabı ayrıcalıklarını devralır.”
Mandiant’a göre saldırganlar, antivirüs motorunun yolunu komut dosyasına işaret edecek şekilde yapılandırarak kötü amaçlı toplu komut dosyalarını (“centre_report.bat”) çalıştırdılar. Komut dosyası, Zoho Unified Endpoint Management System (UEMS) için 84.200.80’den bir yükleyici indirmek üzere tasarlanmıştır.[.]H.252’yi kullanın ve ana makinede Zoho Assist ve AnyDesk gibi uzaktan erişim programlarını dağıtmak için kullanın.
Zoho Assist’in sağladığı uzaktan erişim, keşif gerçekleştirmek için kullanıldı, ardından mevcut hesapların şifrelerini değiştirme ve ayrıcalık yükseltme için bunları yerel yöneticilere ve “Alan Yöneticileri” grubuna ekleme girişimleri yapıldı.
Tehdit aktörleri, tespitten kaçınmanın bir yolu olarak, gelen RDP trafiğine izin vermek amacıyla SSH aracılığıyla 433 numaralı bağlantı noktası üzerinden bir komuta ve kontrol (C2) sunucusuna şifreli bir tünel kurmak üzere Plink ve PuTTY gibi araçları indirdiler.
Kampanyanın nihai hedefi bilinmemekle birlikte, Triofox kullanıcılarının en son sürüme güncelleme yapması, yönetici hesaplarını denetlemesi ve Triofox’un antivirüs motorunun yetkisiz komut dosyalarını veya ikili dosyaları çalıştıracak şekilde yapılandırılmadığını doğrulaması tavsiye ediliyor.