Seqrite Labs APT ekibi, Hindistan hükümetini ve savunma personelini hedefleyen Pakistan bağlantılı şeffaf kabile (APT36) tarafından sofistike bir siber kampanyayı ortaya çıkardı.
Bu operasyon, 22 Nisan 2025 tarihli son Pahalgam terör saldırısı etrafında toplanan bu operasyon, kimlik avı belgelerini dağıtmak ve kötü amaçlı yükler dağıtmak için duygusal olarak yüklü temalardan yararlanıyor.
Siber casusluk için jeopolitik gerilimlerden yararlanmak
Saldırganlar, kurbanları kimlik hırsızlığı ve kötü amaçlı yazılım enfeksiyonuna çekmek için saldırıdan sadece günler sonra yaratılan Jammu & Keşmir Polisi ve Hint Hava Kuvvetleri (IAF) gibi resmi varlıkları taklit eden aldatıcı PDF’ler ve alanlar hazırladılar.
.png
)
Kimlik avı kampanyası, 24 Nisan 2025’te “Kalu Badshah” takma adı altında oluşturulan “Govt tarafından Pahalgam terör saldırısı ile ilgili eylem noktaları ve yanıt” gibi titizlikle tasarlanmış PDF’ler kullanıyor.
Kızıl Sıçan ve Kimlik Avı Altyapısı Maskesi
Bu belgeler, kullanıcıları hxxps: // jkpolice gibi sahte alanlarda barındırılan sahte oturum açma sayfalarına yönlendiren kötü amaçlı bağlantılar yerleştirdi[.]gov[.]içinde[.]Keşmi saldırısı[.]Resmi Jammu ve Keşmir Polis web sitesini taklit eden maruz kaldı.
Hedefleme @gov.in veya @nic.in Hesapları-Veriler doğrudan saldırganlara sifonlanır.
Ayrıca, Pahalgam Terror Attack.PPAM ile ilgili “Rapor ve Güncelleme” adlı bir PowerPoint eklenti dosyası (PPAM), kötü şöhretli Crimson Rat’ı düşüren kötü amaçlı makrolar içerir.
21 Nisan 2025’teki saldırıdan hemen önce derlenen bu uzaktan erişim Trojan, “Weistt.jpg” olarak gizlenmiştir ve 93.127.133 numaralı telefondan bir komut ve kontrol (C2) sunucusuna bağlanır[.]58.
Crimson Rat, 22 komutu destekleyerek saldırganların ekran görüntüleri yakalamasını, dosyaları açıklamasını ve kötü amaçlı kod yürütmesini sağlayarak hassas işlemler için ciddi bir tehdit oluşturur.
Bu kampanyanın arkasındaki altyapı, IAF gibi kimlik avı alanları ile saldırı sonrası bir hızlı etki alanı kaydı paterni ortaya koyuyor[.]nik[.]içinde[.]MinistryOfDefenceIndia[.]Org 16 Nisan 2025 gibi erken bir tarihte yaratıldı.
200019 (Alexhost SRL) ve AS 213373 (IP Connect Inc) gibi çoklu ASN’lerde barındırılan bu alanlar, APT36’nın Hint ordusu ve hükümet varlıklarını hedeflemenin uzun süredir devam eden taktikleriyle tutarlıdır.
Keşmir çatışması gibi jeopolitik temaların kullanılması, operasyonları bozmayı, zekayı çalmayı ve potansiyel olarak dezenformasyonu yaymayı amaçlayan psikolojik etkiyi güçlendirir.
Başarılı olursa, bu tür saldırılar hassas verileri açığa çıkararak veya daha derin ağ infiltrasyonunu sağlayarak ulusal güvenliği tehlikeye atabilir.
Rapora göre, Seqrite Labs, gelişmiş e -posta ve belge taraması, varsayılan olarak makroların devre dışı bırakılması ve jeopolitik tehdit zekasını bu tür hedeflenen kampanyaları önlemek için entegre etmek de dahil olmak üzere güçlü karşı önlemler önerir.
Anomalileri tespit etmek için kullanıcı farkındalığı eğitimi ve davranışsal analitik riskleri azaltmak için de kritiktir.
Bu kampanya, siber güvenlik ve jeopolitiğin kesişiminin altını çizerek ulus devlet aktörlerinin dijital savaş için gerçek dünya olaylarını nasıl kullandıklarını vurguluyor.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge |
|---|---|
| Kimlik avı belgeleri | C4FB60217E3D43EAC92074C4528506A, 172FFF2634545CF59D59C179D139E0AA (Örnekler) |
| Kimlik avı alanları | jkpolice[.]gov[.]içinde[.]Keşmi saldırısı[.]maruz kalan, IAF[.]nik[.]içinde[.]MinistryOfDefenceIndia[.]org |
| Kimlik avı url’leri | hxxps: // jkpolice[.]gov[.]içinde[.]Keşmi saldırısı[.]maruz kalan/hizmet/ev/(örnek) |
| PPAM/Xlam | D946E3E94FEC670F9E47ACA186ECAABE (Örnek) |
| Koyu kırmızı far | 026E8E7ACB2F2A156F8AFFF64FD54066 (Örnek), IP: 93.127.133.58 (bağlantı noktaları: 1097, vb.) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!