Muhtemelen Çin ile uyumlu bir tehdit aktörünün, en azından geçen yıldan bu yana Kuzey Amerika’daki kritik altyapı sektörlerini hedef aldığı gözlemleniyor.
Etkinliği takip eden Cisco Talos adı altında UAT-8837bölgedeki tehdit aktörleri tarafından yürütülen diğer kampanyalarla taktiksel örtüşmelere dayalı olarak orta derecede güvene sahip, Çin bağlantılı bir gelişmiş kalıcı tehdit (APT) aktörü olarak değerlendirildi.
Siber güvenlik şirketi, tehdit aktörünün, gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler) ve uzlaşma sonrası faaliyetlere dayalı olarak “öncelikle yüksek değerli kuruluşlara ilk erişimi elde etmekle görevlendirildiğini” belirtti.
“UAT-8837, güvenlik açığı bulunan sunuculardan başarılı bir şekilde yararlanarak veya güvenliği ihlal edilmiş kimlik bilgilerini kullanarak ilk erişimi elde ettikten sonra, kurbanlarına birden fazla erişim kanalı oluşturmak için kimlik bilgileri, güvenlik yapılandırmaları ve etki alanı ve Active Directory (AD) bilgileri gibi hassas bilgileri toplamak için ağırlıklı olarak açık kaynaklı araçları dağıtır” diye ekledi.
UAT-8837’nin, Eylül 2025’te Google’ın sahibi Mandiant tarafından ayrıntılı olarak açıklanan bir kampanyayla TTP, araç ve altyapı benzerliklerini paylaşan izinsiz girişle, ilk erişimi elde etmek için en son Sitecore’daki kritik bir sıfır gün güvenlik açığından (CVE-2025-53690, CVSS puanı: 9,0) yararlandığı söyleniyor.
Bu iki kümenin aynı aktörün işi olup olmadığı açık olmasa da UAT-8837’nin siber saldırılar gerçekleştirmek için sıfır gün açıklarına erişimi olabileceği öne sürülüyor.
Düşman hedef ağlarda bir yer edindikten sonra ön keşif yapar ve ardından kimlik bilgilerinin ve diğer kullanıcı kaynaklarının güvenliği ihlal edilmiş uzak ana bilgisayarlara maruz kalmamasını sağlayan bir güvenlik özelliği olan Uzak Masaüstü Protokolü için RestrictedAdmin’i (RDP) devre dışı bırakır.
UAT-8837’nin ayrıca, virüslü ana bilgisayarda uygulamalı klavye etkinliği gerçekleştirmek ve kullanım sonrası etkinleştirmek için çeşitli yapıları indirmek için “cmd.exe”yi açtığı söyleniyor. Dikkate değer eserlerden bazıları şunlardır:
- GoTokenTheft, erişim jetonlarını çalmak için
- EarthWorm, SOCKS kullanarak saldırgan tarafından kontrol edilen sunuculara ters bir tünel oluşturmak için
- Kalıcı uzaktan erişimi ve Active Directory keşifini etkinleştirmek için DWAgent
- SharpHound, Active Directory bilgilerini toplamak için
- Impacket, komutları yükseltilmiş ayrıcalıklarla çalıştırmak için
- Kurbanın ağındaki diğer bağlı uzak uç noktalarda komutları yürütmek için Golang tabanlı bir araç olan GoExec
- Rubeus, Kerberos etkileşimi ve kötüye kullanımı için C# tabanlı bir araç seti
- Certipy, Active Directory keşfi ve kötüye kullanımına yönelik bir araç
Araştırmacılar Asheer Malhotra, Vitor Ventura ve Brandon White, “UAT-8837, kurban kuruluşların kimlik bilgileri gibi hassas bilgileri elde etmek için saldırı sırasında bir dizi komut çalıştırabilir” dedi.
“UAT-8837, mağdur bir kuruluşta kurbanın ürünleriyle ilgili DLL tabanlı paylaşılan kitaplıklara sızdı ve bu kitaplıkların gelecekte truva atına maruz kalma olasılığını artırdı. Bu, tedarik zincirindeki uzlaşmalar ve bu ürünlerdeki güvenlik açıklarını bulmak için tersine mühendislik fırsatları yaratıyor.”
Açıklama, Talos’un UAT-7290 olarak bilinen başka bir Çin bağlantılı tehdit aktörünü RushDrop, DriveSwitch ve SilentRaid gibi kötü amaçlı yazılım ailelerini kullanarak Güney Asya ve Güneydoğu Avrupa’daki kuruluşlara yönelik casusluk odaklı saldırılara atfetmesinden bir hafta sonra geldi.
Son yıllarda Çinli tehdit aktörlerinin kritik altyapıları hedef almasına ilişkin endişeler, Batılı hükümetlerin çeşitli uyarılar yayınlamasına yol açtı. Bu haftanın başlarında Avustralya, Almanya, Hollanda, Yeni Zelanda, İngiltere ve ABD’deki siber güvenlik ve istihbarat teşkilatları operasyonel teknoloji (OT) ortamlarına yönelik artan tehditler konusunda uyarıda bulundu.
Kılavuz, OT sistemlerinde bağlantının tasarlanması, güvenliği ve yönetilmesi için bir çerçeve sunarak kuruluşları riske maruz kalmayı sınırlamaya, ağ bağlantılarını merkezileştirmeye ve standartlaştırmaya, güvenli protokoller kullanmaya, OT sınırlarını sertleştirmeye, tüm bağlantıların izlendiğinden ve günlüğe kaydedildiğinden emin olmaya ve güvenlik olayı riskini artırabilecek eski varlıkları kullanmaktan kaçınmaya teşvik ediyor.
Ajanslar, “Açık ve güvensiz OT bağlantısının hem fırsatçı hem de son derece yetenekli aktörler tarafından hedef alındığı biliniyor” dedi. “Bu faaliyet, aktif olarak kritik ulusal altyapı (CNI) ağlarını hedef alan devlet destekli aktörleri içeriyor. Tehdit yalnızca devlet destekli aktörlerle sınırlı değil; yakın zamanda açığa çıkan OT altyapısının fırsatçı bir şekilde bilgisayar korsanları tarafından hedef alındığını gösteren olaylar.”