Bilgisayar korsanları, yeni casus araçlarını kullanarak Güney Asya’daki askeri bağlantılı bireylerin telefonlarını hedefleyin

Siber tehdit aktörleri, Güney Asya’daki askeri ve devlet personeline yönelik sofistike kimlik avı operasyonları başlattı ve kötü niyetli arşivleri ve uygulamaları dağıtmak için savunma ile ilgili yemleri kullandı.

Son tespitler, kimlik avı tuzakları olarak tasarlanmış sıkıştırılmış PDF’ler içeren “Ordu Şefi Personelinin Çin’e Ziyaretinin Koordinasyonu” gibi ZIP dosyalarını içerir.

Bu belgeler, çıkarıldıktan sonra, kullanıcıları NetLify gibi platformlarda barındırılan hileli alanlara yönlendirir, Bangladeş Ordusu, Savunma Genel Müdürlüğü (DGDP) ve Türk savunma firmaları gibi meşru kuruluşları taklit eder.

Analiz, çoklu kampanyalarda gözlemlenen bir taktik olan kaynak kodu görüntülemeyi engellemeye çalışan gömülü JavaScript’i ortaya koymaktadır.

Benzer dosya adları, MD5 karmalar ve gömülü URL’ler üzerinde dönme, IDEF 2025 gibi uluslararası savunma fuarları ve Körfez ülkelerinden gelen ziyaretler de dahil olmak üzere bir kimlik avı eseri kümesini ortaya çıkarır.

Bu cazibeler, Mail-Mod-Gov-GOV-BD-Account-Conf-Files.NetLify.App gibi resmi e-posta sistemlerinin sahte olarak, çalınan verileri Pailbox3-Inbox1-bd.com gibi ikincil komut ve kontrol (C2) sunucularına yönlendiren kimlik bilgisi hasat sayfalarına yol açar.

Modifiye Android Sıçanlar

Operasyon, kimlik avlamasının ötesine geçer ve aktörler, updatemind52.com gibi alanlarda barındırılan APK dosyaları aracılığıyla açık kaynaklı Rafel sıçanının değiştirilmiş sürümlerini dağıtır.

Love_chat.apk (MD5: 9A7510E780EF40D63CA5AB826B1E9DAB) Masquerade gibi örnekler sohbet veya buluşma uygulamaları olarak Maskerade, Lovehabibi.com veya ISEXYCHAT.com gibi sitelerden şüphelenmek için tuzakları içeriyor.

Ayrıştırma, bu uygulamaların enfekte cihazlardan Quickhelpsolve.com/public/commands.php gibi C2 uç noktalarına belgeler, SMS, kişiler ve medya dahil hassas verileri yüklediğini gösterir.

Add_device_admin, read_external_storage ve Read_Contacts gibi kötü amaçlı yazılımlara verilen izinler, kalıcı erişim, uzaktan komut yürütme ve tam cihaz uzlaşmasına izin verir.

Kutcat-rat.com da dahil olmak üzere paylaşılan C2 altyapısındaki pivotlar, pvtchat.apk ve oylama.apk gibi ilgili APK’lardan oluşan bir ağ ortaya çıkarır.

WHOIS Veri, daha önce üretken kimlik avı ile ilişkili olan Play-Googyle.com ve Mailserver-lk.com gibi alanlar arasında [email protected] gibi kayıt gönderen e-postaları bağlar.

Halka açık ve şimdi devre dışı bırakılan C2 panelleri, öncelikle Hindistan, Bangladeş, Pakistan ve Nepal’de kurbanlardan çalınan içeriği açığa çıkardı ve rütbeler ve görev istasyonları aracılığıyla askeri bağlılıkları gösteren adres kitapları ile.

Platformlar arası örtüşmeler

Bu kampanya, ex_aman-2025 gibi Windows kötü amaçlı yazılım örnekleri ile platformlar arası taktikler gösterir.

Proofpoint’in UNK_ARMYDRIVE gibi satıcı atıfları, Hunt IO ve Twitter analistleri gibi kaynaklardan OSINT ile hizalandı, Güney Asya Miliesleri hedeflediği bilinen APT Sidewinder’a benzeyen aktörlere işaret ediyor.

Avcılık potansiyel müşterileri arasında C: \ Users \ Android \ Desktop \ Tümle Tam Çalışma ve URL Encrypt \ x64 \ Release \ ConsoApplication1.pdb ve “Ghijkl” içeren ağ dizeleri bulunmaktadır.

Hata mesajlarının yeniden kullanılması, sabit kodlanmış zaman damgaları ve tescil ettiren detayları, savunma sektörleri için kalıcı bir tehdidi vurgulayarak kümelenmeyi kolaylaştırır.

22 Ağustos 2025 itibariyle, bu araçlar, hedefli casusluk için emtia kötü amaçlı yazılımlarının gelişen kullanımının altını çizerek, yüksek riskli ortamlarda gelişmiş mobil güvenlik ve kimlik avı bilincini çağırıyor.

Uzlaşma temel göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!