Bitdefender, Filipin askeri ve APAC örgütlerini hedefleyen Çin merkezli bir APT tarafından evli olmayan bir kötü amaçlı yazılım olan Eggstreme’yi ortaya çıkarıyor.
Bitdefender’daki siber güvenlik araştırmacıları, şu anda Çin merkezli bir APT grubu tarafından Asya-Pasifik bölgesindeki askeri kuruluşlara casusluk yapmak için kullanılan Eggstreme adlı yeni bir kötü amaçlı yazılım çerçevesi belirlediler. Bulgu, bir Filipin askeri şirketinde uzlaşmaya yönelik bir soruşturma sonrasında geldi.
Araştırmacılara göre, kötü amaçlı yazılım takımı ayrı kötü amaçlı yazılım örnekleri yerine “birleşik” bir sistem olarak tasarlanmıştır. Bileşenleri, çevreyi daha sonraki aşamalara hazırlayan Eggstremefuel adlı bir yükleyici ile başlayarak sırayla çalışır. Nihayetinde, saldırganlar keşif yapabilen, veri çalabilen, değiştirebilen ve hatta önemli dosyaları silebilen tam özellikli bir arka kapı olan Eggstremeagent’ı dağıtıyor.
Filelsiz kötü amaçlı yazılım
10 Eylül 2025 Çarşamba günü yayınlanmasından önce Hackread.com ile paylaşılan Bitdefender’ın teknik raporu, Eggstreme’nin filessiz bir şekilde yürütüldüğünü ortaya koyuyor. Ek olarak, diskte şifrelenmiş modüller bulunurken, kötü amaçlı yükler şifre çözülür ve yalnızca bellekte yürütülür. DLL kenar yükleme ile birleştiğinde, bu çerçevenin tespit edilmesini zorlaştırır.
Ana arka kapı, Eggstremiaent, 58 komutu destekler. Sistem verilerini toplama, dosyaları manipüle etme, komutlar yürütme ve ek yükler enjekte etme yeteneğine sahiptir. Her yeni kullanıcı oturumu her başladığında, explorer.exe tuş vuruşlarını ve pano verilerini izlemek için. Komut ve kontrol sunucuları ile iletişim, şifreli GRPC (Google Remote Prosedür çağrısı) kanalları üzerinde gerçekleşir.
Eggstremewizard arka kapı ve STOWAWAWAY PROXY
Erişimlerini desteklemek için saldırganlar Eggstremewizard adlı ikincil bir araç kullanıyorlar. Bu daha hafif arka kapı xwizard.exe ve kendi geri dönüş sunucuları listesini korur. STOWAWAWAY adlı bir proxy aracı ile birlikte, çerçeve operatörlere, segmentasyon ve güvenlik duvarı kurallarını atlayarak kurban ağındaki trafiği yönlendirme yeteneği verir.
Bitdefender, kampanyanın hala aktif olduğunu ve bölgedeki kuruluşlara yayınlanan uzlaşma göstergelerini uygulamalarını tavsiye ediyor. Uzlaşma ve teknik detayların göstergeleri, Bitdefender’ın IntelLizone Portalı ve kamuya açık GitHub deposu aracılığıyla sunulmuştur.
Filipinler’e karşı siber saldırılar
Filipinler’in sadece Eggstreme gibi casusluk sınıfı araç setlerinden değil, Güney Çin Denizi gerilimlerine bağlı genel hacktivist ve yanlış bilgi kampanyalarından bir süredir sürekli siber baskı altında olduğunu belirtmek gerekir.
Filipinler zaten siber saldırılarda bir artışla uğraşıyor ve Güney Çin Denizi’ndeki anlaşmazlıklar ortasında olaylar 2024’ün başlarında% 300’den fazla artıyor. Eggstreme kötü amaçlı yazılım saldırısı, bu kampanyaların izole olaylar olmadığını, ülkenin siber ve askeri cephesi üzerinde daha büyük ve sürekli bir baskının bir parçası olduğunu gösteriyor.