Çin’e bağlı tehdit aktörü UNC6384, Macaristan, Belçika, Sırbistan, İtalya ve Hollanda’daki Avrupalı diplomatik kuruluşları hedeflemek için kritik bir Windows kısayol güvenlik açığından aktif olarak yararlanıyor.
Arctic Wolf araştırmacıları, Eylül ve Ekim 2025 boyunca devam eden ve grubun operasyonel yeteneklerinde ve coğrafi erişim alanında önemli bir evrimi temsil eden bu karmaşık siber casusluk kampanyasını tespit etti.
Saldırı, meşru diplomatik konferans gündemi olarak gizlenen kötü amaçlı LNK dosyalarını dağıtan URL’ler içeren, dikkatlice hazırlanmış hedef odaklı kimlik avı e-postalarıyla başlıyor.
Bu dosyalar, gerçek Avrupa Komisyonu toplantılarına, NATO savunma satın alma çalıştaylarına ve çok taraflı koordinasyon etkinliklerine atıfta bulunmaktadır.
Kullanıcılar görünüşte masum olan bu kısayollara tıkladıklarında, Windows kısayollarının işlenmesindeki kritik bir kusur, çoğu algılama sisteminin yakalayamadığı komutların sessiz yürütülmesine olanak tanır.
UNC6384, ZDI-CAN-25373 güvenlik açığını Mart 2025’te kamuya açıklanmasından sonraki yalnızca altı ay içinde hızla benimseyerek olağanüstü operasyonel çeviklik ve güvenlik açığı izleme yetenekleri sergiledi.
.webp)
Arctic Wolf analistleri, kötü amaçlı yazılımı araştırmanın ikinci paragrafından sonra tespit etti ve geleneksel güvenlik savunmalarından kaçmak için tasarlanmış karmaşık, çok aşamalı bir saldırı zinciri oluşturan karmaşık enfeksiyon mekanizmasına dikkat çekti.
Teknik Enfeksiyon Mekanizması ve Yük Dağıtımı
Bu istismar mekanizması, kötü amaçlı komutları kullanıcı görünürlüğünden gizlemek için LNK dosyasının COMMAND_LINE_ARGUMENTS yapısı içindeki boşluk dolgusunu akıllıca kötüye kullanır.
Yürütülmesinin ardından, güvenliği ihlal edilen kısayol, üç kritik bileşeni içeren bir katran arşivini ayıklamak ve sıkıştırmasını açmak için PowerShell’i sessizce çağırır: yasal, dijital olarak imzalanmış bir Canon yazıcı yardımcı programı, kötü amaçlı bir DLL yükleyici ve şifrelenmiş bir PlugX uzaktan erişim truva atı yükü.
Saldırı zinciri, standart Windows kitaplığı arama sırası süreçlerinden yararlanarak DLL yandan yüklemeyi kullanıyor. Canon yürütülebilir dosyası başlatıldığında, sistem klasörlerini kontrol etmeden önce içgüdüsel olarak yerel dizininde destekleyici kitaplıkları arar.
Oraya yerleştirilen kötü amaçlı DLL şeffaf bir şekilde yükleniyor, ardından sabit kodlanmış bir RC4 anahtarı kullanarak PlugX yükünün şifresini çözüyor ve onu doğrudan meşru işlemin bellek alanına enjekte ederek neredeyse tespit edilemeyen kalıcı bir arka kapı yaratıyor.
PlugX kötü amaçlı yazılımı, racineupci de dahil olmak üzere birden fazla yedek etki alanı genelinde rastgele parametreler kullanarak şifrelenmiş HTTPS komut ve kontrol bağlantıları kurar.[.]org ve dorareco[.]açık.
Kötü amaçlı yazılım, “SamsungDriver” gibi sahte adlarla gizli kalıcılık dizinleri oluşturur ve Windows kayıt defteri Çalıştırma anahtarlarını değiştirerek sistem yeniden başlatıldığında sürekli erişim sağlar.
Bu kampanya, sıfır gün istismar bilgisini belirli diplomatik personeli ve olayları hedef alan titiz sosyal mühendislikle birleştirerek, Avrupa hükümet operasyonlarına yönelik önemli bir istihbarat toplama tehdidini temsil eden, ulus devlet düzeyindeki gelişmişliği göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
